Originalartikel von Karl Dominguez (Threat Response Engineer bei Trend Micro)

Ein Twitter Bot Builder wird derzeit im Internet kostenlos verbreitet. Er besitzt die Fähigkeit Nutzersysteme anzugreifen. Zu einer ernsten Gefahr könnte er werden, wenn ein Angreifer das Tool für eine verteilte Denial-of-Service-Attacke (DDoS) auf geschäftskritische Systeme einsetzt und um bösartige Dateien herunter zu laden.

Mit dem Programm lässt sich eine ausführbare Datei erstellen, die sich mit Twitter.com verbindet und Befehle auf der Basis der Tweets eines Nutzers ausführt. Der Angreifer kann E-Mails mit Dateianhängen verschicken oder Instant Messages mit Links darin, um die Opfer zum Download und zur Ausführung einer Datei zu verleiten.

Der Bot Builder besteht aus zwei Dateien — TwitterNet Builder.exe und Stub.exe. TwitterNet Builder.exe stellt die Schnittstelle zum Builder dar und fordert den Twitter-Nutzer auf, seinen User-Namen anzugeben und den „Build“-Button anzuklicken. Stub.exe ist die Basisdatei, in die der Builder den Twitter-Benutzernamen einfügt.


Der Builder erzeugt aus Stub.exe den Bot Server TwitterNet Builder.exe, den der Nutzer unter Umständen an ein Zielopfer verschickt.

Sobald der Server auf einem System läuft, verbindet er sich regelmäßig mit der Zielseite von Twitter, um die Tweets zu lesen, die der Angreifer aufsetzt. Die ausführbare Datei kann eine Datei aus dem Internet laden und ausführen. Über das User Datagram Protocol (UDP) kann sie einen DDoS-Angriff starten. Sie öffnet auch eine Webseite und nutzt die Windows Text-to-Speech Application, stoppt alle Bot-Aktivitäten und entfernt verbundene Bots.

Damit das Botnetz funktioniert, sollte das angreifende Profil ein öffentliches sein, sodass der Bot Server dessen Tweets lesen kann. Handelt es sich aber um ein solches öffentliches Profil, ist es für Sicherheitsverantwortliche ein Leichtes, die Angreifer zu finden, indem sie die verwendeten Befehle suchen. Es gibt weder Verteilungsfähigkeiten noch Autostarttechniken, doch kann ein Angreifer den Bot Server per Hand auf einem System installieren, oder einen Nutzer dazu bringen, die Datei auszuführen. Daher sollten User möglichst keine Anhänge öffnen oder Dateien aus unbekannter Quelle ausführen.

Trend Micro hat den Bot Builder TwitterNet Builder.exe als TROJ_TWEBOT.BLD identifiziert und Stub.exe sowie die generierten Bot Server TwitterNet.exe als TROJ_TWEBOT.STB erkannt.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und damit in Zusammenhang stehende Sites mittels des Web Reputation Services blockiert. Der File Reputaion Service wiederum erkennt die bösartigen Dateien und verfährt mit ihnen entsprechend.

Related posts:

1. Twitterbuilding.com stiehlt pro Tweet ein Kennwort
2. Kneber zu kaufen oder zu mieten
3. ZeuS/ZBOT probiert Wege über eine Dateiinfektion aus
4. Kann das Google-Betriebssystem Chrome OS die Sicherheitsprobleme lösen?
5. Halloween: Achtung Online-Tricks

Dieser Eintrag wurde am Freitag, den 14. Mai 2010 erstellt und ist in der Kategorie Internet-Bedrohungen, Malware, Website-Gefährdung zu finden. Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Sie koennen einen Kommentar schreiben, oder einen Trackback auf Ihrer Seite einrichten.