X implementecion de botnet mauricio y osnaider (seg. y redes)

1,542 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,542
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

X implementecion de botnet mauricio y osnaider (seg. y redes)

  1. 1. Análisis e implementación de Botnet sobre sistemas operativos Windows<br />Osnaider David Atencia Arrieta<br />Mauricio Jimenez Sánchez<br />
  2. 2. Agenda<br />Concepto Botnet.<br />Estructura de una Botnet.<br />Medios de Infección y Distribución de las Botnet.<br />Comando y Control (C&C).<br />Negocio Botnet.<br />Ejemplos de botnet<br />Demo.<br />
  3. 3. Botnet<br />Bot<br />es un diminutivo de la palabra «robot». <br />Son pequeños programas automatizados que ejecutan acciones obedeciendo ordenes externas de manera transparente al usuario. <br />Por tanto:<br />Una botnet es unared de computadoras o dispositivos móviles infectados por un bot malicioso controlados remotamente por un servidor para fines lucrativos y generalmente ilegales.<br />
  4. 4. Estructura de una botnet<br />
  5. 5. Medios de Infección y Distribución de las Botnet<br />movimiento en la red: videos, música, fotos, software, etc. Además la prosperidad de las redes P2P<br />
  6. 6. Algunas vulnerabilidades conocidas<br />Microsoft Windows DCOM RPC Interface Buffer Overrun (MS03-026)<br />Microsfot Windows NetApiRemote Buffer Overflow (MS08-067)<br />Microsoft Windows LSASS buffer <br />overflowvulnerability (TCP port 445)<br />
  7. 7. Entradas y valores en el Registro<br />HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun<br />HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices<br />HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun<br />“ConfigurationLoader” = “%System%iexplore.exe”<br />“ConfigurationLoader” = “MSTasks.exe”<br />“ConfigurationLoader” = “aim95.exe”<br />“ConfigurationLoader” = “cmd32.exe”<br />“ConfigurationLoader”= “IEXPL0RE.EXE”<br />“Configuration Manager” = “Cnfgldr.exe”<br />“Fixnice” = “vcvw.exe”<br />“Internet Config” = “svchosts.exe”<br />“MSSQL” = “Mssql.exe”<br />“MachineTest” = “CMagesta.exe”<br />
  8. 8. Mecanismo automatizado de infección<br />
  9. 9. Comando y Control (C&C)<br />Poca efectividad en conexiones cliente/servidor de los antiguos troyanos.<br />Uso de redes de servicios ya existentes(IRC, HTTP, P2P) para sus comunicaciones. <br />
  10. 10. Arquitectura C&C centralizado <br />El servidor IRC es quien soporta las miles de conexiones. <br />Comunicaciones bajo un protocolo confiable. <br />
  11. 11.
  12. 12. Push style <br />botnets basadas en IRC <br />Envío de mensajes de control(TOPIC, IRC PRIVMSG )<br />Identificación mediante claves<br />
  13. 13. Uso del comando bot.info en IRC Botnet<br />
  14. 14. Pull style<br />Los servidores IRC se ven sustituidos por servidores web.<br />Un poco mas de anonimato.<br />
  15. 15.
  16. 16. Fast-flux (single-flux, double-flux) <br />Uso de Proxy.<br />Uso de DNS.<br />single-flux(modificación en los registros A)<br />single-flux(modificación en los registros NS)<br />
  17. 17.
  18. 18. Arquitectura C&C descentralizado<br />Basadas en redes p2p estructuradas y no estructuradas.<br />las órdenes llegan a través de cualquier nodo de la red. <br />
  19. 19. Redes p2p estructuradas y no estructuradas<br />
  20. 20.
  21. 21. Negocio Botnet<br />
  22. 22. Troyano FLUX flux)<br />Demo<br />
  23. 23. Herramientas de Denegación de Servicio<br />LOIC (LowOrbit Ion Cannon) y HOIC (High Orbit Ion Cannon)<br />Estas herramientas constan de una interfaz muy amigable desde la cual se puede elegir entre diversas opciones de ataque como son peticiones UDP, TCP o HTTP así como la velocidad y la cantidad de threads simultáneos.<br /> <br />Ataques SynFlood fue el llevado a cabo recientemente por el grupo Anonymous de 4chan contra los servidores de Amazon y PayPal mediante estas herramientas debido a los altercados con Wikileaks<br />
  24. 24. Ejemplos de Botnets<br />SpyBot<br />Spybot es un troyano código abierto, es una derivación de SDBot. emerge en el 2003 y recolecta colección de la actividad de los logs del computador, datos de formularios web, listas de direcciones de email, y listas de url visitados y explotas algunas vulnerabilidades conocidas. Spybot es muy fácil adquirirlo y es complicado detectar e identificar esta botnet.<br />
  25. 25. Funciones de Spybot<br />Diferentes variantes de Spybot tiene algunas funciones como:<br /><ul><li>Escaneo de puertos
  26. 26. Lanzar ataques DDos como UDP y synflooding.
  27. 27. Manejar sistemas antiguos (Win 9x) y sistemas conectados vía modem.
  28. 28. Usando Ingeniería Social permite la descarga de módulos infecciosos del Sysbot en usuarios P2P
  29. 29. Logear todas las teclas del teclado o solos las teclas presionadas en Internet Explorer.
  30. 30. Realizar capturar pantallas del equipo victima.
  31. 31. Enviar Spam en sistemas de mensajería instantánea .
  32. 32. Esnifiar el trafico de la red para la captura de usuarios y contraseñas.
  33. 33. Matar procesos de antivirus y otros productos de seguridad.
  34. 34. Algunas variantes de Spybot incluye rootkit en el núcleo del sistema operativo.
  35. 35. Control de cámara web, incluyendo captura de video streaming.</li></li></ul><li>Mariposa<br />Mariposa, que nació en el 2008, infectó a ordenadores de 190 países, a más de la mitad de las mil empresas más grandes del mundo y, al menos, 40 instituciones financieras según informó la gente de Panda Security y DefenceIntelligence, quienes trabajaron con los integrantes de la división de delitos informáticos de la Guardia Civil.<br />Aproximadamente unos 13 millones de ordenadores estaban siendo controlados por los presuntos delincuentes para sus actividades ilegales<br />
  36. 36. Infección del Malware<br />El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un "centro de mando y control" Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft, pero también utilizó puertas de entrada como unidades de almacenamiento extraíble (USB), MSN Messenger, y programas P2P que afectaban a Windows XP y sistemas anteriores.<br />
  37. 37.
  38. 38. Negocio Mariposa<br />La botnet puede ser alquilada por terceras personas y organizaciones. Las actividades confirmadas incluyen ataques de denegación de servicio, el spam de correo electrónico, robo de información personal y cambiar la resultados de la búsqueda de un navegador mostraría el fin de mostrar anuncios y anuncios pop-up.<br />
  39. 39. Control y Comando<br />Los comandos se envían desde el servidor de comando y control para el proceso de bot como mensajes cifrados ASCII.<br />
  40. 40. Conexiones donde fueron observadas las siguientes ips:<br />• 62.128.52.191 • 200.74.244.84<br />• 66.197.176.41 • 24.173.86.145<br />• 74.208.162.142 • 87.106.179.75<br />• 204.16.173.30 • 76.73.56.12<br />Conexiones donde fueron observadas los siguientes puertos: <br />• 5906 • 5907<br />• 3431 • 3435<br />• 3437 • 3434<br />• 3433 <br />
  41. 41. ·539 e ilusión<br />!YOURPASS!set!channel!#CHANNEL !join!#CHANNEL!part!#CHANNEL!syn!HOST!PORT!http!HOST!PORT!download!URL!getkeys!URL (CDKey.DB File)!location!status!version!die!bye!opme!stopsyn!stophttp!stopall!logout<br />Demo<br />
  42. 42. Zeus<br />Demo<br />
  43. 43. Prablinha<br />Demo<br />

×