在C&C通信上,黑客一直都非常有创造性。很多威胁组织利用推特,小甜甜布兰妮·斯皮尔斯的Instagram评论区也没被放过,名为Turla的俄罗斯黑客团伙,最近就用它来隐藏其C&C服务器URL。
趋势科技的研究人员监测了几个流行聊天平台,发现其中很多都可以被网络罪犯利用,有些甚至已经被滥用了。因为通常都是作为合法用途,难以被检测恶意流量,这些应用对网络罪犯而言是极具诱惑性的目标。
专家们分析了团队协作工具Slack、游戏聊天App Discord、隐私信使Telegram、组消息平台HipChat、开源Slack替代物Mattermost、推特和脸书。
此类App的开发者,通常都会提供API组件,允许集成定制或第三方应用。例如,同步用户日程表以便在聊天界面直接获取会议提醒。
Slack的案例中,研究人员发现,该平台可被转化为C&C服务器,但由于有 5 GB 上传数据量的限制,该平台不适合用于大量数据渗漏。
专家们做了概念验证,演示Slack会怎样被滥用于向僵尸网络发送指令,比如目录列表、上传文件、执行系统命令、截屏并上传到Slack上等。
趋势科技还发现了与Slack互动的几个可疑文件,但里面并未包含任何恶意流程。一些恶意安卓App利用Slack向攻击者传递信息,但没有观测到有威胁组织完全发挥了该平台的潜力。
Discord更不适用于数据渗漏,因为其文件上传的最大体积只有 8 MB。但是,研究人员确实在该平台上发现了恶意软件,包括有密钥生成器、破解软件、漏洞利用工具包和代码注入工具。比特币挖矿机和针对在线社交游戏平台Roblox用户的恶意软件,也在滥用Discord。
尽管需要有效电话号码才能注册账户,Telegram同样被网络罪犯们滥用。趋势科技对Telegram做了概念验证,证明该平台可被滥用来在被感染系统上执行命令,盗取数据。已经有威胁利用Telegram干坏事了,比如TeleBot后门和Telecrypt勒索软件。
HipChat的API也提供有C&C服务器所需的功能,而Mattermost则被研究人员认为对攻击者没多大吸引力。Zone13的专家最近证明,Facebook可被滥用,但趋势科技指出,该社交媒体平台具备良好的账户可疑行为检测机制。
