Ein Twitter Bot Builder wird derzeit im Internet kostenlos verbreitet. Er besitzt die Fähigkeit Nutzersysteme anzugreifen. Zu einer ernsten Gefahr könnte er werden, wenn ein Angreifer das Tool für eine verteilte Denial-of-Service-Attacke (DDoS) auf geschäftskritische Systeme einsetzt und um bösartige Dateien herunter zu laden.

Mit dem Programm lässt sich eine ausführbare Datei erstellen, die sich mit Twitter.com verbindet und Befehle auf der Basis der Tweets eines Nutzers ausführt. Der Angreifer kann E-Mails mit Dateianhängen verschicken oder Instant Messages mit Links darin, um die Opfer zum Download und zur Ausführung einer Datei zu verleiten.

Der Bot Builder besteht aus zwei Dateien — TwitterNet Builder.exe und Stub.exe. TwitterNet Builder.exe stellt die Schnittstelle zum Builder dar und fordert den Twitter-Nutzer auf, seinen User-Namen anzugeben und den „Build“-Button anzuklicken. Stub.exe ist die Basisdatei, in die der Builder den Twitter-Benutzernamen einfügt.


Der Builder erzeugt aus Stub.exe den Bot Server TwitterNet Builder.exe, den der Nutzer unter Umständen an ein Zielopfer verschickt.

Sobald der Server auf einem System läuft, verbindet er sich regelmäßig mit der Zielseite von Twitter, um die Tweets zu lesen, die der Angreifer aufsetzt. Die ausführbare Datei kann eine Datei aus dem Internet laden und ausführen. Über das User Datagram Protocol (UDP) kann sie einen DDoS-Angriff starten. Sie öffnet auch eine Webseite und nutzt die Windows Text-to-Speech Application, stoppt alle Bot-Aktivitäten und entfernt verbundene Bots.

Damit das Botnetz funktioniert, sollte das angreifende Profil ein öffentliches sein, sodass der Bot Server dessen Tweets lesen kann. Handelt es sich aber um ein solches öffentliches Profil, ist es für Sicherheitsverantwortliche ein Leichtes, die Angreifer zu finden, indem sie die verwendeten Befehle suchen. Es gibt weder Verteilungsfähigkeiten noch Autostarttechniken, doch kann ein Angreifer den Bot Server per Hand auf einem System installieren, oder einen Nutzer dazu bringen, die Datei auszuführen. Daher sollten User möglichst keine Anhänge öffnen oder Dateien aus unbekannter Quelle ausführen.

Trend Micro hat den Bot Builder TwitterNet Builder.exe als TROJ_TWEBOT.BLD identifiziert und Stub.exe sowie die generierten Bot Server TwitterNet.exe als TROJ_TWEBOT.STB erkannt.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und damit in Zusammenhang stehende Sites mittels des Web Reputation Services blockiert. Der File Reputaion Service wiederum erkennt die bösartigen Dateien und verfährt mit ihnen entsprechend.

Das PUSHDO-Botnet war kürzlich wieder in den Schlagzeilen als Übeltäter in einem Distributed Denial-of-Service (DDoS)-Angriff auf eine Reihe bekannter Websites. Einige Publikationen haben den neuen Angriff auch ausführlich dokumentiert. Da wir im letzten Jahr einige Monate damit verbrachten, das PUSHDO/CUTWAIL-Botnet zu untersuchen und zu überwachen und aufgrund der Prüfung der neuesten Samples können wir mit Sicherheit sagen, dass dieser bestimmte Angriff nicht auf PUSHDO zurück zu führen ist.

In erster Linie sind PUSHDO-Varianten üblicherweise Downloader, die häufig an einen Command-and-Control (C&C)-Server berichten. Die DDoS-Malware in der Attacke jedoch ist ein Spambot. Zwar nutzt PUSHDO-Botnets ein Spambot (von der Sicherheitsindustrie als CUTWAIL bezeichnet), um User mit Spam zu überfluten, doch bei dem Vergleich unseres CUTWAIL-Samples mit dem DDoS-Spambot in besagtem Angriff, haben wir keine schlüssigen Beweise gefunden, dass die beiden miteinander in Verbindung stehen.

Sicherheitsexperten erkennen diese neue Spambot-Variante als „Harebot“ oder „Shgray“. Einige der Anbieter haben sie auch als „Pandex“ identifiziert, ein anderer Name für PUSHDO-Varianten. Dies scheint der Grund dafür zu sein, dass der neue Angriff für PUSHDO-bezogen angesehen wird.

Manche mögen dies für ein nicht sehr relevantes Argument halten, doch ist es dennoch wichtig. Auch wenn es sich beim neuen Spambot tatsächlich um eine weiterentwickelte Version der CUTWAIL-Varianten (was noch nicht bewiesen ist) handelt, heißt das dennoch nicht, dass die PUSHDO-Botnet-Besitzer hinter diesem massiven DDoS-Angriff stecken. Diese beiden Gruppen könnten sich als eine einzige oder auch als zwei völlig unterschiedliche Organisation entpuppen. Unabhängig davon liegt der Grund dafür, ein DDoS-fähiges Spambot zu erzeugen, noch immer völlig im Dunkeln – auch für Sicherheitsforscher.

Vor ein paar Tagen konnte ich kostenlos auf den Sourcecode des bekannten Elite Loader zugreifen. Er war auf einem der russischen Untergrundforen veröffentlicht worden, und es gab sogar eine ausführliche Beschreibung sowie Screenshots, die zeigten, wie der Command and Control (C&C) Server zu benutzen ist.

Abgesehen davon, dass sich mit dem Elite Loader bösartige Dateien auf infizierten Maschinen ablegen lassen, ermöglicht er auch Nutzern mit bösen Absichten, zusätzlich Software auf die Zielsysteme hochzuladen, um Kennwörter zu stehlen sowie Spam oder Module für Distributed Denial of Service (DDoS) zu installieren, die dann von Cyberkriminellen verwendet werden können.

Der C&C des Bots umfasst auch signifikante Statistiken und nutzt eine Log-Filtering-Funktionalität, um die Modul-Downloads von den Bots in verschiedenen Ländern zu verwalten. Der Server kann auch Ziel-Bots nach ihrer Location aktivieren oder deaktivieren. Das Bot ist nur 8 KB groß, sodass der Prozess des Ablegens relativ unbemerkt ablaufen kann. Es funktioniert perfekt auf Microsoft XP Service Packs 1, 2, und 3 sowie auf Vista-Betriebssystemen und unterstützt mehrere Job-Instanzen.

Das Geschäft der Malware-Verteilung scheint öffentlich geworden zu sein. Der Elite Loader beispielsweise wurde vom wohlbekannten Lonely Wolf veröffentlicht, einem der Moderatoren des Untergrundforums DaMaGeLaB, und enthält detaillierte Anweisungen im Archiv sowie dedizierte Bedrohungs-Einträge. Damit wird es sogar für Skript-Jugendliche einfach, ihren eigenen bösartigen Code zu erzeugen.

Trend Micro spürt die Varianten des Elite Loaders als Teil der DLOADER-Familie  von Trojanern auf. Kunden von Trend Micro müssen sich also keine Sorgen über Infektionen machen. Das Trend Micro Smart Protection Network blockiert den Download aller bösartigen Dateien und auch den Zugriff auf bösartige URLs im Zusammenhang mit diesem Bot. Anwender, die keine Trend Micro Produkte im Einsatz haben, und befürchten, ihre Systeme könnten bereits infiziert sein, können ihre PCs mithilfe des kostenlosen Tools RUBotted säubern.