Dein Tweet ist mir Befehl

Originalartikel von Karl Dominguez (Threat Response Engineer bei Trend Micro)

Ein Twitter Bot Builder wird derzeit im Internet kostenlos verbreitet. Er besitzt die Fähigkeit Nutzersysteme anzugreifen. Zu einer ernsten Gefahr könnte er werden, wenn ein Angreifer das Tool für eine verteilte Denial-of-Service-Attacke (DDoS) auf geschäftskritische Systeme einsetzt und um bösartige Dateien herunter zu laden.

Mit dem Programm lässt sich eine ausführbare Datei erstellen, die sich mit Twitter.com verbindet und Befehle auf der Basis der Tweets eines Nutzers ausführt. Der Angreifer kann E-Mails mit Dateianhängen verschicken oder Instant Messages mit Links darin, um die Opfer zum Download und zur Ausführung einer Datei zu verleiten.

Der Bot Builder besteht aus zwei Dateien — TwitterNet Builder.exe und Stub.exe. TwitterNet Builder.exe stellt die Schnittstelle zum Builder dar und fordert den Twitter-Nutzer auf, seinen User-Namen anzugeben und den „Build“-Button anzuklicken. Stub.exe ist die Basisdatei, in die der Builder den Twitter-Benutzernamen einfügt.


Der Builder erzeugt aus Stub.exe den Bot Server TwitterNet Builder.exe, den der Nutzer unter Umständen an ein Zielopfer verschickt.

Sobald der Server auf einem System läuft, verbindet er sich regelmäßig mit der Zielseite von Twitter, um die Tweets zu lesen, die der Angreifer aufsetzt. Die ausführbare Datei kann eine Datei aus dem Internet laden und ausführen. Über das User Datagram Protocol (UDP) kann sie einen DDoS-Angriff starten. Sie öffnet auch eine Webseite und nutzt die Windows Text-to-Speech Application, stoppt alle Bot-Aktivitäten und entfernt verbundene Bots.

Damit das Botnetz funktioniert, sollte das angreifende Profil ein öffentliches sein, sodass der Bot Server dessen Tweets lesen kann. Handelt es sich aber um ein solches öffentliches Profil, ist es für Sicherheitsverantwortliche ein Leichtes, die Angreifer zu finden, indem sie die verwendeten Befehle suchen. Es gibt weder Verteilungsfähigkeiten noch Autostarttechniken, doch kann ein Angreifer den Bot Server per Hand auf einem System installieren, oder einen Nutzer dazu bringen, die Datei auszuführen. Daher sollten User möglichst keine Anhänge öffnen oder Dateien aus unbekannter Quelle ausführen.

Trend Micro hat den Bot Builder TwitterNet Builder.exe als TROJ_TWEBOT.BLD identifiziert und Stub.exe sowie die generierten Bot Server TwitterNet.exe als TROJ_TWEBOT.STB erkannt.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und damit in Zusammenhang stehende Sites mittels des Web Reputation Services blockiert. Der File Reputaion Service wiederum erkennt die bösartigen Dateien und verfährt mit ihnen entsprechend.

2 Gedanken zu „Dein Tweet ist mir Befehl

  1. Pingback: [Pressemitteilung] Trend Micro warnt Twitter-Nutzer vor neuem Botnetz

  2. Pingback: Tweets die Dein Tweet ist mir Befehl » blog.trendmicro.de erwähnt -- Topsy.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*