• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
X implementecion de botnet mauricio y osnaider (seg. y redes)
 

X implementecion de botnet mauricio y osnaider (seg. y redes)

on

  • 1,335 views

 

Statistics

Views

Total Views
1,335
Views on SlideShare
1,333
Embed Views
2

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 2

http://cp2011construccion.blogspot.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    X implementecion de botnet mauricio y osnaider (seg. y redes) X implementecion de botnet mauricio y osnaider (seg. y redes) Presentation Transcript

    • Análisis e implementación de Botnet sobre sistemas operativos Windows
      Osnaider David Atencia Arrieta
      Mauricio Jimenez Sánchez
    • Agenda
      Concepto Botnet.
      Estructura de una Botnet.
      Medios de Infección y Distribución de las Botnet.
      Comando y Control (C&C).
      Negocio Botnet.
      Ejemplos de botnet
      Demo.
    • Botnet
      Bot
      es un diminutivo de la palabra «robot».
      Son pequeños programas automatizados que ejecutan acciones obedeciendo ordenes externas de manera transparente al usuario.
      Por tanto:
      Una botnet es unared de computadoras o dispositivos móviles infectados por un bot malicioso controlados remotamente por un servidor para fines lucrativos y generalmente ilegales.
    • Estructura de una botnet
    • Medios de Infección y Distribución de las Botnet
      movimiento en la red: videos, música, fotos, software, etc. Además la prosperidad de las redes P2P
    • Algunas vulnerabilidades conocidas
      Microsoft Windows DCOM RPC Interface Buffer Overrun (MS03-026)
      Microsfot Windows NetApiRemote Buffer Overflow (MS08-067)
      Microsoft Windows LSASS buffer
      overflowvulnerability (TCP port 445)
    • Entradas y valores en el Registro
      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
      “ConfigurationLoader” = “%System%iexplore.exe”
      “ConfigurationLoader” = “MSTasks.exe”
      “ConfigurationLoader” = “aim95.exe”
      “ConfigurationLoader” = “cmd32.exe”
      “ConfigurationLoader”= “IEXPL0RE.EXE”
      “Configuration Manager” = “Cnfgldr.exe”
      “Fixnice” = “vcvw.exe”
      “Internet Config” = “svchosts.exe”
      “MSSQL” = “Mssql.exe”
      “MachineTest” = “CMagesta.exe”
    • Mecanismo automatizado de infección
    • Comando y Control (C&C)
      Poca efectividad en conexiones cliente/servidor de los antiguos troyanos.
      Uso de redes de servicios ya existentes(IRC, HTTP, P2P) para sus comunicaciones.
    • Arquitectura C&C centralizado
      El servidor IRC es quien soporta las miles de conexiones.
      Comunicaciones bajo un protocolo confiable.
    • Push style
      botnets basadas en IRC
      Envío de mensajes de control(TOPIC, IRC PRIVMSG )
      Identificación mediante claves
    • Uso del comando bot.info en IRC Botnet
    • Pull style
      Los servidores IRC se ven sustituidos por servidores web.
      Un poco mas de anonimato.
    • Fast-flux (single-flux, double-flux)
      Uso de Proxy.
      Uso de DNS.
      single-flux(modificación en los registros A)
      single-flux(modificación en los registros NS)
    • Arquitectura C&C descentralizado
      Basadas en redes p2p estructuradas y no estructuradas.
      las órdenes llegan a través de cualquier nodo de la red.
    • Redes p2p estructuradas y no estructuradas
    • Negocio Botnet
    • Troyano FLUX flux)
      Demo
    • Herramientas de Denegación de Servicio
      LOIC (LowOrbit Ion Cannon) y HOIC (High Orbit Ion Cannon)
      Estas herramientas constan de una interfaz muy amigable desde la cual se puede elegir entre diversas opciones de ataque como son peticiones UDP, TCP o HTTP así como la velocidad y la cantidad de threads simultáneos.
       
      Ataques SynFlood fue el llevado a cabo recientemente por el grupo Anonymous de 4chan contra los servidores de Amazon y PayPal mediante estas herramientas debido a los altercados con Wikileaks
    • Ejemplos de Botnets
      SpyBot
      Spybot es un troyano código abierto, es una derivación de SDBot. emerge en el 2003 y recolecta colección de la actividad de los logs del computador, datos de formularios web, listas de direcciones de email, y listas de url visitados y explotas algunas vulnerabilidades conocidas. Spybot es muy fácil adquirirlo y es complicado detectar e identificar esta botnet.
    • Funciones de Spybot
      Diferentes variantes de Spybot tiene algunas funciones como:
      • Escaneo de puertos
      • Lanzar ataques DDos como UDP y synflooding.
      • Manejar sistemas antiguos (Win 9x) y sistemas conectados vía modem.
      • Usando Ingeniería Social permite la descarga de módulos infecciosos del Sysbot en usuarios P2P
      • Logear todas las teclas del teclado o solos las teclas presionadas en Internet Explorer.
      • Realizar capturar pantallas del equipo victima.
      • Enviar Spam en sistemas de mensajería instantánea .
      • Esnifiar el trafico de la red para la captura de usuarios y contraseñas.
      • Matar procesos de antivirus y otros productos de seguridad.
      • Algunas variantes de Spybot incluye rootkit en el núcleo del sistema operativo.
      • Control de cámara web, incluyendo captura de video streaming.
    • Mariposa
      Mariposa, que nació en el 2008, infectó a ordenadores de 190 países, a más de la mitad de las mil empresas más grandes del mundo y, al menos, 40 instituciones financieras según informó la gente de Panda Security y DefenceIntelligence, quienes trabajaron con los integrantes de la división de delitos informáticos de la Guardia Civil.
      Aproximadamente unos 13 millones de ordenadores estaban siendo controlados por los presuntos delincuentes para sus actividades ilegales
    • Infección del Malware
      El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un "centro de mando y control" Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft, pero también utilizó puertas de entrada como unidades de almacenamiento extraíble (USB), MSN Messenger, y programas P2P que afectaban a Windows XP y sistemas anteriores.
    • Negocio Mariposa
      La botnet puede ser alquilada por terceras personas y organizaciones. Las actividades confirmadas incluyen ataques de denegación de servicio, el spam de correo electrónico, robo de información personal y cambiar la resultados de la búsqueda de un navegador mostraría el fin de mostrar anuncios y anuncios pop-up.
    • Control y Comando
      Los comandos se envían desde el servidor de comando y control para el proceso de bot como mensajes cifrados ASCII.
    • Conexiones donde fueron observadas las siguientes ips:
      • 62.128.52.191 • 200.74.244.84
      • 66.197.176.41 • 24.173.86.145
      • 74.208.162.142 • 87.106.179.75
      • 204.16.173.30 • 76.73.56.12
      Conexiones donde fueron observadas los siguientes puertos:
      • 5906 • 5907
      • 3431 • 3435
      • 3437 • 3434
      • 3433
    • ·539 e ilusión
      !YOURPASS!set!channel!#CHANNEL !join!#CHANNEL!part!#CHANNEL!syn!HOST!PORT!http!HOST!PORT!download!URL!getkeys!URL (CDKey.DB File)!location!status!version!die!bye!opme!stopsyn!stophttp!stopall!logout
      Demo
    • Zeus
      Demo
    • Prablinha
      Demo