如何在android上的telegram上创建调查窃听Bot恶意软件-电报telegram技巧分享

怎么用telegram调查

怎样在Android上的Telegram上创建調察

合著者：X员工我们练习有素的编辑和研究!职员团队撰写了这篇文章，并对其正确性和广度进行了验证。内容管理团队会细致检察我们编辑职员的工作，以确保每篇文章都切合我们的高质量尺度。这将教您怎样在使用Android时在Telegram上创建多项选择調察。在Android上打开电报。这是带有白色纸飞机的蓝色图标。通常，您可以在主屏幕或应用程序抽屉中找到它。请点击 . 它在电报的

内容:

合著者：X员工我们练习有素的编辑和研究。职员团队撰写了这篇文章，并对其正确性和广度进行了验证。

内容管理团队会细致检察我们编辑职员的工作，以确保每篇文章都切合我们的高质量尺度。

这将教您怎样在使用Android时在Telegram上创建多项选择調察。

步骤

在Android上打开电报。

这是带有白色纸飞机的蓝色图标。通常，您可以在主屏幕或应用程序抽屉中找到它。
请点击

.

它在电报的右上角。
写
@pollbot
.

匹配结果列表将会出现。
请点击

投票球

.

结果是内部带有条形图的浅蓝色图标。这将打开与PollBot的对话。
请点击

开始

.

它在屏幕的底部。
在調察中输入问题，然后单击提交按钮。

提交按钮是屏幕右下角的蓝纸平面。
键入第一个大概的选项，然后单击提交按钮。

比方，假如您的问题是“您最嘻歡的季候是什么？”，那么您的第一个答案大概是“冬天”。
键入以下选项，然后单击提交按钮。

假如您只想提供两个大概的答案，则可以在此处停止。不然，继续输入答案并单击提交按钮，直到您添加了全部想要的答案。
写
/完成
然后点击提交按钮。

URL将出如今对话中。
按調察的URL。

对话列表将会出现。
按您要共享調察的组。

将会出现一条确认消息。
请点击

担当

.

如今，調察已与小组共享。小构成员可以通过单击或单击自己选择的答案来回复調察。广告

取自“ https：//es.m..com/index.php？标题= Android上的Telegram上的丈量調察＆oldid = 939739”

我们不停在关注打击者绕过葆护棤施的方法。近来一项調察我们研究了Telegram加密消息服务作为恶意软件的下令和控制（C2）底子架构的用法。使用Telegram作为C2通道的恶意软件通常使用Telegram Bot API进行通讯。

在調察的過逞中，我们发现Telegram处置通过其Bot API发送的消息的方法存在重大缺陷。由于Bot API的工作原理，全部已往的机器人消息都可以被可以或许拦截和好息争密HTTPS流量的打击者重放。实际上，这可以为敌手提供目的机器人发送或吸收的全部消息的完备历史记载。这通常包括常规人类用户之间的消息，由于机器人常常与他们共享群组聊天。

获取Telegram C2消息的访问权限

Telegram使用其内部MTProto加密来葆护常规用户之间的消息，由于它以为TLS本身对于加密的消息通报应用程序来说不够安全。但是，这不实用于使用Telegram Bot API的程序，由于以这种方法发送的消息仅受HTTPS层葆护，另有，任何可以或许得到在每条消息中传输的一些重要信息的打击者不但可以窥伺传输中的消息，还可以恢复目的bot的完备消息通报历史记载。此中一个重要信息是bot API令牌，它将全部消息嵌入。

因此，对目的的HTTPS连接上实行MiTM的敌手获取此数据是微不足道的。另一个重要部分是随机天生的Telegram chat_id。在单个聊天的环境下，这是用户自己的唯一ID，而群组聊天在创建时天生他们自己的chat_id。但是，此信息也会在任何Bot API请求中发送，由于bot需要知道要向哪个用户或组聊天发送信息。

配备这些信息，可以从Telegram Bot API调用很多方法。在我们的例子中，forwardMessage()方法特殊有效，由于它容许给定的bot有权未来自任何聊天的任何消息转发给任意Telegram用户。要做到这一点，我们需要API令牌和’源’chat_id（从bot先前发送的消息中提取，要么在恶意软件中从自身提取）以及’目的’chat_id（这是我们自己的用户ID），最后是我们想要转发的消息ID。

对我们来说荣幸的是，message_id从0开始增长，因此一个简单的Python脚本可以转发全部已发送到机器人当前所属的Telegram聊天的消息。

GoodSender

有问题的恶意软件是一个相当简单的.NET恶意软件，运营商称之为’GoodSender’并使用Telegram作为C2。它以相当简单的方法运行：一旦删除恶意软件，它就会创建一个新的管理员用户并启用长途桌面，并确保它不被防火墙制止。新管理员用户的用户名是静态的，但密码是随机天生的。全部这些信息（受害者的用户名，密码和IP地点）都通过电报网络发送给操作员，从而使操作员可以通过RDP访问受害者的盘算机。

图1 – 构建Telegram Bot URL的GoodSender代码

图2 – Telegram Bot的设置文件屏幕

活动时间表

该打击者最初使用Telegram bot来处置他正在开发的另一件恶意软件。这个早期的恶意软件被称为“RTLBot”，而且在几个月的时间里，他在放弃开发之前添加了很多其他功能，转而开发上文提及的恶意软件“GoodSender”。下面的时间线和所包含的屏幕截图的具体信息是从恶意软件的历史C2通讯中一点一点找出来的。

1.2018年2月4日 – bot机器人上线啦。

2.2018年2月18日 – 开始将Telegram C2功能整合到RTLBot中，并将开发转移到Telegram上。

3.2018年2月20日 – 打击者将他的底子办法从他的个人盘算机移到AWS（亚马逊网络服务）上。

4.2018年4月1日 – GoodSender开始流传并发送第一个受害者信息。

5.2018年6月6日 – 打击者租用另一个VPS作为bot代理。

6.2018年7月5日 – GoodSender发送其最后的真实受害者信息。

7.2018年9月29日 – GoodSender发送其最后一次测试受害者信息。

2018年11月23日，打击者将相同的机器人API密钥和C2频道归并到一个工具中，该工具好像从Instagram帐户收集信息。在将API密钥和通道变动为
“production”
值之前，好像该通道可用于测试机器人。

图3 – 显然是作者的开发机器的截图，由bot上传到Telegram频道

图4 – 作者开发环境的另一个屏幕截图，表现了2018年6月6日初次察看到的新代理

虽然我们没有发现打击者开释恶意软件的打击媒介的明白目标，但是一些线索表明他使用EternalBlue漏洞将恶意软件开释在未打补丁的机器上：

1.他大量使用名为“EternalBlues”的免费EternalBlue漏洞扫描程序；

2.他有一份扫描的美国和越南知识产权清单，这些知识产权易受EternalBlue打击，然后他用来感染他的一些受害者。

根据我们的調察，GoodSender已经感染了至少120名受害者，重要是在美国。

图5 – 基于GeoIP信息的GoodSender受害者的红热/蓝冷热图

总的来说

在我们以往的案例研究中，这种用于重放消息的特定技能被用于发现打击者，但它现在大概被用于使用Telegram Bot API的正当应用程序。

尽管Telegram被宣传为“安全消息通报应用程序”而且在正常聊天!期间使用比TLS更高的理论保证的加密方案，但是bot使用传统的TLS来加密传输中的数据。因此，具有解密TLS本领的MitM位置的打击者可以得到对bot令牌以及
chat_id
的访问，这不但导致当前通讯的完全妥协，并且还影响机器人所参与的全部先前通讯。

因此，freebuf小编提议全部用户制止使用Telegram机器人以及制止使用机器人的频道和组。

IOCs (GoodSender)

943eceb00ea52948c30deab1d5824ffcf2fd1cec

*参考出处： forcepoint ，由周大涛编译，转载请注明来自FreeBuf.COM

内容:

合著者：-redactie X本文已由我们的编辑职员进行校对，他们会检察文章的准确性和完备性。

我们的专家团队会检察编辑工作，以确保可以阅读的文章切合全部质量要求。在本文中：步骤相关文章

本文将教您怎样在使用Android时在Telegram上创建多项选择調察表。

踩

在电报的右上角。
种类
@pollbot
.

匹配结果列表将会出现。
按

投票球

.

这是带有淡蓝色图标且内部带有条形图的结果。这将打开与PollBot的对话。
按

开始

在屏幕底部。
键入調察中的问题，然后单击提交按钮。

发送按钮是屏幕右下角的蓝纸平面。
输入第一个大概的答案，然后单击发送按钮。

比方，假如您的问题是“您最嘻歡的季候是什么？”，那么您的第一个答案大概是“冬天”。
键入以下选项，然后单击“提交”按钮。

假如您只想给出两个大概的答案，则可以在此处停止。不然，您将必须继续输入答案，然后单击“提交”按钮，直到添加了所需的每个答案。
种类
/完成
然后单击发送按钮。

URL将出如今对话中。
按調察URL。

对话列表将会出现。
点击您要与之共享調察的组。

出现确认信息。
按

好

.

如今，調察已与您的小组共享。小构成员可以通过按或单击他们选择的答案往返答調察。