设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

俄罗斯黑客是如何滥用twitter作为Hammertoss C&C服务器的?

2015-11-29 10:58| 发布者: 随便、先森。| 查看: 1483| 评论: 0|来自: freebuf

摘要: 本文我们将复制一项技术,我们曾用它来追踪一个叫做Hammertoss的复杂俄罗斯恶意软件,该恶意软件的创造者滥用知名网站(比如twitter和github)来跃过防火墙和躲避追踪。概括的说,该恶意软件不是像传统恶意软件那样 ...

本文我们将复制一项技术,我们曾用它来追踪一个叫做Hammertoss的复杂俄罗斯恶意软件,该恶意软件的创造者滥用知名网站(比如twitter和github)来跃过防火墙和躲避追踪。

概括的说,该恶意软件不是像传统恶意软件那样直接反向连接到C&C服务器,而是跳跃在第三方服务器之间,以执行其恶意活动。火眼给出了一个短视频,快速展示了恶意软件的工作原理:


Hammertoss工作原理

首先,Hammertoss会连接到twitter,寻找攻击者发布的推文:里面包含一张图片的URL和部分加密密钥的hash标签。

从技术角度来说,根本不需要登录twitter账户就可解析别人发布的推文;这种情况下我们只需识别出账户URL和包含真正推文信息的HTML标签。但是要记住你可以添加其他推特账户信息以隐藏原始的推特账户(属于黑客的推特账户)。

也就是说,在完成上述操作过程,你绝不能用自己的个人账户,这就是为什么我创建了一个新账户,我的twitter主页为:https://twitter.com/HussamKhrais

我用kali机器发布了一条推文:Hello from kali python,随后退出账户,与此同时我们打开https://twitter.com/HussamKhrais,会发现一些类似的推文。

使用浏览器打开推文就可看到该页面的HTML源码。对于Chrome浏览器,只需在页面任意处单击右键,选择查看页面源码或者使用 Ctrl+U快捷键,即可查看那条信息的HTML信息:

 name="description" content="The latest Tweets from Hussam Khrais (@HussamKhrais): "Hello from kali python"">

因此从技术角度上讲,我们可以写一个很简单的脚本,导航至https://twitter.com/HussamKhrais

操作解释:

1. fromBeautifulSoup import BeautifulSoup as soupy #1
2. importurllib  #2
3.        
4. html = urllib.urlopen(‘https://twitter.com/HussamKhrais’).read() #3
5. soup = soupy(html)  #4
6.        
7. x = soup.find(“meta”, {“name”:”description”})[‘content’]  #5
8. print x #6
1# Import soupy function from BeautifulSoup library, we will use this function to search for the html tags
2# Import urllib which will be used to navigate to our twitter page and grab the html for us
3# Navigate to my twitter home page HussamKhrais, store the HTML page into html variable
4# Pass it to soupy function so we can parse it
5# Here we search for the HTML meta tags
6# Print the result out

输出运行的脚本为:

由于我们只对引号中的字符感兴趣,所以我们可以使用正规表达方式将其过滤出来,如下脚本可以过滤出引号中的信息:

1. importre
2.        
3. filter = re.findall(r'”(.*?)”‘,x)
4. tweet =  filter[0]
5. print tweet

“findall”功能会抓取引号中的字符,储存在列表数据类型的过滤器中,最终可打印出准确的推文信息。

把所有的脚本拼凑在一起便可得到如下结果。

感兴趣的话,你可以下载爬虫脚本亲自试验一下。

* 参考来源:securityaffairs


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部