Ein interessanter Post auf dem Blog von Arbor Network.
Ein Botnet ist eine Ansammlung von (Ro)bot(ern) resp. von Software-Agenten, die darauf warten, ein zentral bestimmtes Kommando auszuführen. Installiert werden diese Bots durch Würmer (Viren) resp. durch Hacker, welche solche Botnets für «gewisse» Aufgaben vermieten. Beispielsweise zum Versenden von Spam E-Mail (ab unzählig verschiedenen IP-Adressen) oder für DoS-Angriffe.
Die interessante Frage resp. der Angriffspunke eines solchen Botnets ist dessen zentrale Steuerung, die häufig über Instant Messaging-Dienste (wie IRC) erfolgt. Aber neuerdings gibt es ja auch Twitter.
Ein Beispiel für einen solchen Steuerungskanal war http://twitter.com/upd4t3 der in der Zwischenzeit durch Twitter deaktivert wurde. Hier die Geschichte in kurz.
Auf dem Twitter-Account wurden «Codes» in der Form von Base 64 encodes publiziert, welche auf den Kurz-URL Dienst http://bit.ly verwiesen und damit (über eine Redirection) den auszuführenden Programmcode zugänglich machten.
Auf dem Arbor-Blog wird die die Umwandlung in eine URL und die Dekompression des Programmcodes genauer umschrieben.
Das war es eigentlich… Denn damit haben die Bots alles, was sie für ihren Job/Angriff benötigen. Sehr elegant. Das Interesse an Arbor resp. deren Diensgt ATLAS ist es, die Kommunikation zu den Bots zu unnterbinden um damit Angriffe zu verhindern. Und ich frage mich, wer die Leute sind, die jemandem auf Twitter folgen, die nur Base 64 encoded URLs schriebt…
Botnet Command Channel auf Twitter
B
Wieder eine einfallsreiche Möglichkeit, wie Twitter genutzt werden kann. Erinnert mich ein wenig an das Fernsteuern des eigenen PCs. In Anbetracht der vielen Downtimes in letzter Zeit aber sicherlich nicht die zuverlässigste Variante. 😉