標題:通訊軟體 Slack、Discord、Telegram 易遭駭客濫用,淪為發號施令的C&C伺服器
摘要:
趨勢科技選擇5項通訊軟體Slack、Discord、Telegram、HipChat、Mattermost,以及2種社群媒體Twitter、Facebook,調查其服務的註冊機制、匿名性、API傳輸的即時性、傳輸檔案的大小、儲存限制和雲端託管的能力,來評估成為C&C伺服器的潛在能力,並調查目前該服務API遭駭客濫用的情況。
除此之外,勒索軟體KillDisk的變種是利用Telegram的API,鎖定目標裝置來下達命令,進一步竊取目標裝置的資料。這些命令分別是「Cmd|」,執行shell命令並發送訊息到通訊平臺;「Cmd||」,執行shell命令但不會發送訊息;「Getphoto|| %path%」,從受感染電腦上傳圖片到通訊平臺;「Getdock||%path%」,上傳不超過50MB大小的檔案至通訊平臺;「forcecheckin|| %random%」,蒐集目標Windows(含X64、X86版本)電腦的使用權限;「time|| %seconds%」,更改執行命令的時間間隔;「ss||」,執行截圖功能。
Telegram不僅提供駭客傳送命令,來執行不同的功能,也是駭客確認目標裝置是否保持連接。勒索軟體TeleCrypt使用Telegram的API,回傳受害裝置的名稱、遭加密的資料和其他資訊給攻擊者,來確保雙方傳輸的管道沒有被破壞。
研究人員說明,因為在通訊平臺的環境裡面,很難利用監視流量的方式,辨別出攻擊者與一般使用者不同的使用行為,所以無法完全阻擋駭客在通訊平臺上的惡意行為,除非能夠解決前述的問題,否則難以防護通訊平臺的安全性。
原始資料/研究報告:
How Cybercriminals Can Abuse Chat Platform APIs as C&C Infrastructures
https://documents.trendmicro.com/assets/wp/wp-how-cybercriminals-can-abuse-chat-platform-apis-as-cnc-infrastructures.pdf
引用來源:
http://www.ithome.com.tw/news/114850