Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

1,048 views

Published on

Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)

Published in: Technology
  • Login to see the comments

Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

  1. 1. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007
  2. 2. Índice• Introducción• Estructura• Funcionamiento• Conclusiones
  3. 3. Introducción DefinicionesBot: Programas sirvientes que realizan determinadas acciones a base de comandos emitidos desde un controlador. El tipo de bot que estudiaremos es el denominado bot C&C (Command and Control)Botnet: Red de equipos comprometidos (bots) controlados desde un equipo central, empleando diversos protocolosBot herder o bot master: Es el “dueño” de la red de bots
  4. 4. Introducción(2) Objetivos• Dar a conocer este tipo de redes – Estructura – Características – Funcionamiento• Análisis de los distintos tipos de programas – Clasificación de las distintas familias – Funcionalidades – Usos y explotación
  5. 5. Introducción (3) Justificación• Poca información disponible• Necesario conocer y estudiar de que manera afectan estos programas a 3 grandes grupos: • Usuarios domésticos • Empresas • Internet• Vital determinar y difundir los peligros de estas redes para concienciar a usuarios y administradores Estructura y funcionamiento
  6. 6. Introducción(4) CifrasPrimeros 6 meses del 2006• 250.000 Ordenadores infectados por día• 330.000 en un mes en España• 57.000 bots activos diariamente• 4.7 millones de ordenadores fueron usados alguna vez en redes bot• Botnets de hasta 50.000 sistemas comprometidos ¡ Solo en redes detectadas!
  7. 7. EstructuraDiferentes topologías C&C: • Centralizada • Punto a punto (p2p) • Aleatoria
  8. 8. Estructura (2) Bot C&C IRC • Arquitectura centralizada • 3 partes básicas Ventajas: – Protocolo conocido – Baja latencia – Facilidad en el diseño Inconvenientes – Fácil detección – Dependencia del sistema central USO DE DNS DINÁMICOS Y SERVIDORES IRC PRIVADOS
  9. 9. Estructura (3)• Bot IRC: 1993: Eggdrop 1988: Gusano Morris• Gusanos 1999-2000:Melissa /I Love you 2001: Core Red 2003-2004:Blaster/Sasser
  10. 10. FuncionamientoFases de un ataque •Exploración •Acceso •Consolidación •Explotación
  11. 11. Funcionamiento(2) Bot Master crea el archivo infectado con el programaInterfaz gráfica Archivos de cabecera o (GUI) en el mismo código char botid[] = "rx01";// bot id char version[] = "[rxBot v0.6.6 b]";// Bots !version reply char password[] = "changeme"; // bot password char server[] = "irc.rizon.net";// server char serverpass[] = "";// server password char channel[] = "#rxbot";// channel that the bot should join char chanpass[] = "";// channel password char server2[] = "";// backup server (optional) char channel2[] = "";// backup channel (optional) char chanpass2[] = "";// backup channel password (optional) char filename[] = "wuamgrd.exe";// destination file name char keylogfile[] = "keys.txt";// keylog filename char valuename[] = "Microsoft Update";// value name for autostart char nickconst[] = "[RX]|";// first part to the bots nick char modeonconn[] = "-x+B";// Can be more than one mode and - char chanmode[] = "+n+t";// Channel mode after joining char exploitchan[] = "";// Channel where exploit messages get redirected char keylogchan[] = "";// Channel where keylog messages get redirected char psniffchan[] = "";// Channel where psniff messages get redirected char *authost[] = { "*@*.net", "*@*.com" };
  12. 12. Fases de un ataqueExploración y acceso: Bot semilla Distribución vía: Spam, P2p, Vulnerabilidades, IRC
  13. 13. Exploración y acceso .advscan lsass 100 5 999 -rServidorIRC .advscan <módulo> <nºhilos><retraso><opciones> !scan <dirección ip> <nº hilos> <retraso> <tipo>
  14. 14. Exploración y acceso (2) Explotación • Equipos con vulnerabilidades sin parchear (Dcom, Lsass…) •Equipos Previamente infectados por gusanos • Netbios sin contraseña o contraseñas débiles
  15. 15. Exploración y acceso(3)
  16. 16. Exploración y acceso (4)
  17. 17. Consolidación• Uso de módulos para asegurarse la ejecución en el equipo infectado – Registro – System.ini• Módulos contra Antivirus, Firewalls y programas de virtualización• Módulos que evitan conexiones hacia las direcciones de proveedores de actualizaciones y programas de seguridad• Instalación de Rootkits
  18. 18. Explotación del sistema• DDoS• Spam• Phising• Sniffing-Keylogging: Robo de información sensible• Fraude por clic• Instalación de servidores con contenido ilegal
  19. 19. Comparativa entre los distintos bots estudiados Bot Configuración Spreaders Instalación en el DDOS Proxies/Servidores Protección sistemaMicrobot Archivo por NO Registro NO NO NO lotesG-Spot GUI NO Registro Flood NO NOLeechbot VB Configuración SI(?) Registro SYNFlood NO Ciertos Antivirus en el mismo programaData Spy GUI NO Registro UDP (Plugin) Proxy NoNetwork TCP(Plugin) Redirección puertos Http(plugin)Omega Project Configuración NetBios Registro NO Sock (plugin) Procesos yII en archivo de servicios de cabecera antivirus y externo firewallsSDbot Configuración NO Registro NO Redirección NO en el mismo ficheroSpyBot Configuración NetBios System.ini SYNFlood Http server Firewalls y en archivo de Kuang Redirección antivirus cabecera Sub7 externo KazaaRbot Configuración Netbios Registro SYNFlood Redireccion Firewalls, en archivo de Kuang TCPFlood Sock4 antivirus, cabecera Sub7 ICMPFLood Http Bloquea acceso a externo Lssas Ftp páginas de Dcom compañías de Dameware seguridad y Mssqql actualizaciones Bagle MyDoom Sasser UpnpPhatbotAgobot GUI Netbios Registro SYNFlood Redireccion Firewalls, Kuang HTTPFlood Http antivirus, Sub7 ICMPFlood Ftp Bloquea acceso a Lssas UDPFlood Smtp páginas de Dcom Targa3Flood Sock4 compañías de Dameware WonkFlood Sock5 seguridad y Mssqql actualizaciones. Bagle Elimina procesos MyDoom en Linux Sasser Upnp
  20. 20. Conclusiones• Aumento del comercio electrónico y aparición de beneficios económicos: Cambio de mentalidad en los atacantes: – 40.000 Euros por una vulnerabilidad en Windows Vista – 15.000 Euros otros sistemas – Código fuente que permita construir un botnet: 5.000-20.000 – Números de tarjetas de crédito y PIN: 400 Euros – Cuentas PayPal: 5 euros• Desconocimiento generalizado sobre el tema siendo el arma más polivalente de los autores de crímenes cibernéticos.• Mejoras tecnológicas en los programas bot: – Cifrado de las comunicaciones – Uso de protocolos alternativos – Topologías más difícilmente detectables – Uso de programas de empaquetamiento – Ataques a pequeña escala• Problemas en la detección de los creadores y en los programas por parte de antivirus• Equipos de respuesta y programas de detección insuficientes
  21. 21. Preguntas
  22. 22. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007

×