Your SlideShare is downloading. ×
0
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

529

Published on

Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)

Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
529
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007
  • 2. Índice• Introducción• Estructura• Funcionamiento• Conclusiones
  • 3. Introducción DefinicionesBot: Programas sirvientes que realizan determinadas acciones a base de comandos emitidos desde un controlador. El tipo de bot que estudiaremos es el denominado bot C&C (Command and Control)Botnet: Red de equipos comprometidos (bots) controlados desde un equipo central, empleando diversos protocolosBot herder o bot master: Es el “dueño” de la red de bots
  • 4. Introducción(2) Objetivos• Dar a conocer este tipo de redes – Estructura – Características – Funcionamiento• Análisis de los distintos tipos de programas – Clasificación de las distintas familias – Funcionalidades – Usos y explotación
  • 5. Introducción (3) Justificación• Poca información disponible• Necesario conocer y estudiar de que manera afectan estos programas a 3 grandes grupos: • Usuarios domésticos • Empresas • Internet• Vital determinar y difundir los peligros de estas redes para concienciar a usuarios y administradores Estructura y funcionamiento
  • 6. Introducción(4) CifrasPrimeros 6 meses del 2006• 250.000 Ordenadores infectados por día• 330.000 en un mes en España• 57.000 bots activos diariamente• 4.7 millones de ordenadores fueron usados alguna vez en redes bot• Botnets de hasta 50.000 sistemas comprometidos ¡ Solo en redes detectadas!
  • 7. EstructuraDiferentes topologías C&C: • Centralizada • Punto a punto (p2p) • Aleatoria
  • 8. Estructura (2) Bot C&C IRC • Arquitectura centralizada • 3 partes básicas Ventajas: – Protocolo conocido – Baja latencia – Facilidad en el diseño Inconvenientes – Fácil detección – Dependencia del sistema central USO DE DNS DINÁMICOS Y SERVIDORES IRC PRIVADOS
  • 9. Estructura (3)• Bot IRC: 1993: Eggdrop 1988: Gusano Morris• Gusanos 1999-2000:Melissa /I Love you 2001: Core Red 2003-2004:Blaster/Sasser
  • 10. FuncionamientoFases de un ataque •Exploración •Acceso •Consolidación •Explotación
  • 11. Funcionamiento(2) Bot Master crea el archivo infectado con el programaInterfaz gráfica Archivos de cabecera o (GUI) en el mismo código char botid[] = "rx01";// bot id char version[] = "[rxBot v0.6.6 b]";// Bots !version reply char password[] = "changeme"; // bot password char server[] = "irc.rizon.net";// server char serverpass[] = "";// server password char channel[] = "#rxbot";// channel that the bot should join char chanpass[] = "";// channel password char server2[] = "";// backup server (optional) char channel2[] = "";// backup channel (optional) char chanpass2[] = "";// backup channel password (optional) char filename[] = "wuamgrd.exe";// destination file name char keylogfile[] = "keys.txt";// keylog filename char valuename[] = "Microsoft Update";// value name for autostart char nickconst[] = "[RX]|";// first part to the bots nick char modeonconn[] = "-x+B";// Can be more than one mode and - char chanmode[] = "+n+t";// Channel mode after joining char exploitchan[] = "";// Channel where exploit messages get redirected char keylogchan[] = "";// Channel where keylog messages get redirected char psniffchan[] = "";// Channel where psniff messages get redirected char *authost[] = { "*@*.net", "*@*.com" };
  • 12. Fases de un ataqueExploración y acceso: Bot semilla Distribución vía: Spam, P2p, Vulnerabilidades, IRC
  • 13. Exploración y acceso .advscan lsass 100 5 999 -rServidorIRC .advscan <módulo> <nºhilos><retraso><opciones> !scan <dirección ip> <nº hilos> <retraso> <tipo>
  • 14. Exploración y acceso (2) Explotación • Equipos con vulnerabilidades sin parchear (Dcom, Lsass…) •Equipos Previamente infectados por gusanos • Netbios sin contraseña o contraseñas débiles
  • 15. Exploración y acceso(3)
  • 16. Exploración y acceso (4)
  • 17. Consolidación• Uso de módulos para asegurarse la ejecución en el equipo infectado – Registro – System.ini• Módulos contra Antivirus, Firewalls y programas de virtualización• Módulos que evitan conexiones hacia las direcciones de proveedores de actualizaciones y programas de seguridad• Instalación de Rootkits
  • 18. Explotación del sistema• DDoS• Spam• Phising• Sniffing-Keylogging: Robo de información sensible• Fraude por clic• Instalación de servidores con contenido ilegal
  • 19. Comparativa entre los distintos bots estudiados Bot Configuración Spreaders Instalación en el DDOS Proxies/Servidores Protección sistemaMicrobot Archivo por NO Registro NO NO NO lotesG-Spot GUI NO Registro Flood NO NOLeechbot VB Configuración SI(?) Registro SYNFlood NO Ciertos Antivirus en el mismo programaData Spy GUI NO Registro UDP (Plugin) Proxy NoNetwork TCP(Plugin) Redirección puertos Http(plugin)Omega Project Configuración NetBios Registro NO Sock (plugin) Procesos yII en archivo de servicios de cabecera antivirus y externo firewallsSDbot Configuración NO Registro NO Redirección NO en el mismo ficheroSpyBot Configuración NetBios System.ini SYNFlood Http server Firewalls y en archivo de Kuang Redirección antivirus cabecera Sub7 externo KazaaRbot Configuración Netbios Registro SYNFlood Redireccion Firewalls, en archivo de Kuang TCPFlood Sock4 antivirus, cabecera Sub7 ICMPFLood Http Bloquea acceso a externo Lssas Ftp páginas de Dcom compañías de Dameware seguridad y Mssqql actualizaciones Bagle MyDoom Sasser UpnpPhatbotAgobot GUI Netbios Registro SYNFlood Redireccion Firewalls, Kuang HTTPFlood Http antivirus, Sub7 ICMPFlood Ftp Bloquea acceso a Lssas UDPFlood Smtp páginas de Dcom Targa3Flood Sock4 compañías de Dameware WonkFlood Sock5 seguridad y Mssqql actualizaciones. Bagle Elimina procesos MyDoom en Linux Sasser Upnp
  • 20. Conclusiones• Aumento del comercio electrónico y aparición de beneficios económicos: Cambio de mentalidad en los atacantes: – 40.000 Euros por una vulnerabilidad en Windows Vista – 15.000 Euros otros sistemas – Código fuente que permita construir un botnet: 5.000-20.000 – Números de tarjetas de crédito y PIN: 400 Euros – Cuentas PayPal: 5 euros• Desconocimiento generalizado sobre el tema siendo el arma más polivalente de los autores de crímenes cibernéticos.• Mejoras tecnológicas en los programas bot: – Cifrado de las comunicaciones – Uso de protocolos alternativos – Topologías más difícilmente detectables – Uso de programas de empaquetamiento – Ataques a pequeña escala• Problemas en la detección de los creadores y en los programas por parte de antivirus• Equipos de respuesta y programas de detección insuficientes
  • 21. Preguntas
  • 22. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007

×