Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)
Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos
1. Escuela Técnica Superior de Ingeniería Informática
Ingeniería Técnica en Informática de Sistemas
Bot y Botnets: Análisis de estructura y
funcionamiento de las redes de
ordenadores comprometidos
Realizado por
Adrián Belmonte Martín
Dirigido por
Sergio Pozo Hidalgo
Departamento
Lenguajes y Sistemas Informáticos
Sevilla, Marzo de 2007
3. Introducción
Definiciones
Bot: Programas sirvientes que realizan determinadas
acciones a base de comandos emitidos desde un
controlador. El tipo de bot que estudiaremos es el
denominado bot C&C (Command and Control)
Botnet: Red de equipos comprometidos (bots) controlados
desde un equipo central, empleando diversos protocolos
Bot herder o bot master: Es el “dueño” de la red de bots
4. Introducción(2)
Objetivos
• Dar a conocer este tipo de redes
– Estructura
– Características
– Funcionamiento
• Análisis de los distintos tipos de programas
– Clasificación de las distintas familias
– Funcionalidades
– Usos y explotación
5. Introducción (3)
Justificación
• Poca información disponible
• Necesario conocer y estudiar de que manera afectan estos
programas a 3 grandes grupos:
• Usuarios domésticos
• Empresas
• Internet
• Vital determinar y difundir los peligros de estas redes para
concienciar a usuarios y administradores
Estructura y funcionamiento
6. Introducción(4)
Cifras
Primeros 6 meses del 2006
• 250.000 Ordenadores infectados por día
• 330.000 en un mes en España
• 57.000 bots activos diariamente
• 4.7 millones de ordenadores fueron usados alguna vez en redes bot
• Botnets de hasta 50.000 sistemas comprometidos
¡ Solo en redes detectadas!
8. Estructura (2)
Bot C&C IRC
• Arquitectura centralizada
• 3 partes básicas
Ventajas:
– Protocolo conocido
– Baja latencia
– Facilidad en el diseño
Inconvenientes
– Fácil detección
– Dependencia del sistema
central
USO DE DNS DINÁMICOS
Y SERVIDORES IRC
PRIVADOS
9. Estructura (3)
• Bot IRC: 1993: Eggdrop
1988: Gusano Morris
• Gusanos 1999-2000:Melissa /I Love you
2001: Core Red
2003-2004:Blaster/Sasser
11. Funcionamiento(2)
Bot Master crea el archivo infectado con el programa
Interfaz gráfica Archivos de cabecera o
(GUI) en el mismo código
char botid[] = "rx01";// bot id
char version[] = "[rxBot v0.6.6 b]";// Bots !version reply
char password[] = "changeme"; // bot password
char server[] = "irc.rizon.net";// server
char serverpass[] = "";// server password
char channel[] = "#rxbot";// channel that the bot should join
char chanpass[] = "";// channel password
char server2[] = "";// backup server (optional)
char channel2[] = "";// backup channel (optional)
char chanpass2[] = "";// backup channel password (optional)
char filename[] = "wuamgrd.exe";// destination file name
char keylogfile[] = "keys.txt";// keylog filename
char valuename[] = "Microsoft Update";// value name for autostart
char nickconst[] = "[RX]|";// first part to the bot's nick
char modeonconn[] = "-x+B";// Can be more than one mode and -
char chanmode[] = "+n+t";// Channel mode after joining
char exploitchan[] = "";// Channel where exploit messages get redirected
char keylogchan[] = "";// Channel where keylog messages get redirected
char psniffchan[] = "";// Channel where psniff messages get redirected
char *authost[] = {
"*@*.net",
"*@*.com"
};
12. Fases de un ataque
Exploración y acceso: Bot semilla
Distribución vía:
Spam, P2p,
Vulnerabilidades,
IRC
14. Exploración y acceso (2)
Explotación
• Equipos con
vulnerabilidades
sin parchear
(Dcom, Lsass…)
•Equipos
Previamente
infectados por
gusanos
• Netbios sin
contraseña o
contraseñas
débiles
17. Consolidación
• Uso de módulos para asegurarse la ejecución en el equipo infectado
– Registro
– System.ini
• Módulos contra Antivirus, Firewalls y programas de virtualización
• Módulos que evitan conexiones hacia las direcciones de proveedores de
actualizaciones y programas de seguridad
• Instalación de Rootkits
18. Explotación del sistema
• DDoS
• Spam
• Phising
• Sniffing-Keylogging: Robo de
información sensible
• Fraude por clic
• Instalación de servidores con
contenido ilegal
19. Comparativa entre los distintos bots estudiados
Bot Configuración Spreaders Instalación en el DDOS Proxies/Servidores Protección
sistema
Microbot Archivo por NO Registro NO NO NO
lotes
G-Spot GUI NO Registro Flood NO NO
Leechbot VB Configuración SI(?) Registro SYNFlood NO Ciertos Antivirus
en el mismo
programa
Data Spy GUI NO Registro UDP (Plugin) Proxy No
Network TCP(Plugin) Redirección
puertos
Http(plugin)
Omega Project Configuración NetBios Registro NO Sock (plugin) Procesos y
II en archivo de servicios de
cabecera antivirus y
externo firewalls
SDbot Configuración NO Registro NO Redirección NO
en el mismo
fichero
SpyBot Configuración NetBios System.ini SYNFlood Http server Firewalls y
en archivo de Kuang Redirección antivirus
cabecera Sub7
externo Kazaa
Rbot Configuración Netbios Registro SYNFlood Redireccion Firewalls,
en archivo de Kuang TCPFlood Sock4 antivirus,
cabecera Sub7 ICMPFLood Http Bloquea acceso a
externo Lssas Ftp páginas de
Dcom compañías de
Dameware seguridad y
Mssqql actualizaciones
Bagle
MyDoom
Sasser
Upnp
PhatbotAgobot GUI Netbios Registro SYNFlood Redireccion Firewalls,
Kuang HTTPFlood Http antivirus,
Sub7 ICMPFlood Ftp Bloquea acceso a
Lssas UDPFlood Smtp páginas de
Dcom Targa3Flood Sock4 compañías de
Dameware WonkFlood Sock5 seguridad y
Mssqql actualizaciones.
Bagle Elimina procesos
MyDoom en Linux
Sasser
Upnp
20. Conclusiones
• Aumento del comercio electrónico y aparición de beneficios económicos:
Cambio de mentalidad en los atacantes:
– 40.000 Euros por una vulnerabilidad en Windows Vista
– 15.000 Euros otros sistemas
– Código fuente que permita construir un botnet: 5.000-20.000
– Números de tarjetas de crédito y PIN: 400 Euros
– Cuentas PayPal: 5 euros
• Desconocimiento generalizado sobre el tema siendo el arma más polivalente
de los autores de crímenes cibernéticos.
• Mejoras tecnológicas en los programas bot:
– Cifrado de las comunicaciones
– Uso de protocolos alternativos
– Topologías más difícilmente detectables
– Uso de programas de empaquetamiento
– Ataques a pequeña escala
• Problemas en la detección de los creadores y en los programas por parte de
antivirus
• Equipos de respuesta y programas de detección insuficientes
22. Escuela Técnica Superior de Ingeniería Informática
Ingeniería Técnica en Informática de Sistemas
Bot y Botnets: Análisis de estructura y
funcionamiento de las redes de
ordenadores comprometidos
Realizado por
Adrián Belmonte Martín
Dirigido por
Sergio Pozo Hidalgo
Departamento
Lenguajes y Sistemas Informáticos
Sevilla, Marzo de 2007