俄罗斯黑客是如何滥用twitter作为Hammertoss C&C服务器的?

本文我们将复制一项技术,我们曾用它来追踪一个叫做Hammertoss的复杂俄罗斯恶意软件,该恶意软件的创造者滥用知名网站(比如twitter和github)来跃过防火墙和躲避追踪。

概括的说,该恶意软件不是像传统恶意软件那样直接反向连接到C&C服务器,而是跳跃在第三方服务器之间,以执行其恶意活动。

火眼给出了一个短视频,快速展示了恶意软件的工作原理:

Hammertoss工作原理

首先,Hammertoss会连接到twitter,寻找攻击者发布的推文:里面包含一张图片的URL和部分加密密钥的hash标签。

从技术角度来说,根本不需要登录twitter账户就可解析别人发布的推文;这种情况下我们只需识别出账户URL和包含真正推文信息的HTML标签。但是要记住你可以添加其他推特账户信息以隐藏原始的推特账户(属于黑客的推特账户)。

也就是说,在完成上述操作过程,你绝不能用自己的个人账户,这就是为什么我创建了一个新账户。

我的twitter主页为:https://twitter.com/HussamKhrais 我用kali机器发布了一条推文:Hello from kali python。

随后退出账户,与此同时我们打开https://twitter.com/HussamKhrais,会发现一些类似的推文。

使用浏览器打开推文就可看到该页面的HTML源码。对于Chrome浏览器,只需在页面任意处单击右键,选择查看页面源码或者使用 Ctrl+U快捷键,即可查看那条信息的HTML信息:

<meta name="description" content="The latest Tweets from Hussam Khrais (@HussamKhrais): &quot;Hello from kali python&quot;">

因此从技术角度上讲,我们可以写一个很简单的脚本,导航至https://twitter.com/HussamKhrais。

操作解释:

1. fromBeautifulSoup import BeautifulSoup as soupy #1 2. importurllib #2 3. 4. html = urllib.urlopen(‘https://twitter.com/HussamKhrais’).read() #3 5. soup = soupy(html) #4 6. 7. x = soup.find(“meta”, {“name”:”description”})[‘content’] #5 8. print x #6

1# Import soupy function from BeautifulSoup library, we will use this function to search for the html tags 2# Import urllib which will be used to navigate to our twitter page and grab the html for us 3# Navigate to my twitter home page HussamKhrais, store the HTML page into html variable 4# Pass it to soupy function so we can parse it 5# Here we search for the HTML meta tags 6# Print the result out

输出运行的脚本为:

由于我们只对引号中的字符感兴趣,所以我们可以使用正规表达方式将其过滤出来,如下脚本可以过滤出引号中的信息:

1. importre 2. 3. filter = re.findall(r'”(.*?)”‘,x) 4. tweet = filter[0] 5. print tweet

“findall”功能会抓取引号中的字符,储存在列表数据类型的过滤器中,最终可打印出准确的推文信息。

把所有的脚本拼凑在一起便可得到如下结果。

感兴趣的话,你可以下载爬虫脚本亲自试验一下。

* 参考来源:securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-11-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

记录一次利用业务设计漏洞的精彩实战测试

上次的那篇文章《一名代码审计新手的实战经历与感悟》得到了不少读者的支持,也得到了FreeBuf这个平台的肯定,这给了我这个菜的不能再菜的小菜鸟很大的信心。但是,...

983
来自专栏安智客

Google Keybox功能与TEE关系介绍

昨天介绍了Keystore功能,今天来普及一下Keybox。这个也与可信执行环境TEE有着密切的关系! Keybox就是Android的密钥箱功能,用于解密受D...

91010
来自专栏FreeBuf

来自后方世界的隐匿威胁:后门与持久代理(一)

干了十几年安全工作,发现一些同行只是把简单的工具扫描和渗透测试当成了全部工作,拿到需要的数据及测试结果既为完成工作。可各位兄弟,咱扪心自问,这样的安全测试能叫真...

2625
来自专栏程序员阿凯

GitHub 可以被收购,Git 命令你不能不会

1614
来自专栏葡萄城控件技术团队

月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击

早起看手机,结果发现我的微信群炸了,未读消息 999+,大家都在讨论 event-stream 事件。打开 twitter 也是被这个刷屏了。

1182
来自专栏FreeBuf

西部数据My Cloud存储设备被曝可提权认证绕过漏洞

近期,网络设备漏洞研究团队exploitee.rs公布,西部数据 My Cloud 网络存储设备存在一个认证绕过漏洞( CVE-2018-17153),未授权的...

1446
来自专栏FreeBuf

如何通过WIFI渗透企业内网?

介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在...

3148
来自专栏安恒信息

新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的...

3785
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1263
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

5176

扫码关注云+社区

领取腾讯云代金券