SlideShare una empresa de Scribd logo

Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

Descargar como PPT, PDF
Adrian Belmonte Martín
Adrian Belmonte Martín

Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)

Tecnología
1 de 22
Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007
Índice • Introducción • Estructura • Funcionamiento • Conclusiones
Introducción Definiciones Bot: Programas sirvientes que realizan determinadas acciones a base de comandos emitidos desde un controlador. El tipo de bot que estudiaremos es el denominado bot C&C (Command and Control) Botnet: Red de equipos comprometidos (bots) controlados desde un equipo central, empleando diversos protocolos Bot herder o bot master: Es el “dueño” de la red de bots
Introducción(2) Objetivos • Dar a conocer este tipo de redes – Estructura – Características – Funcionamiento • Análisis de los distintos tipos de programas – Clasificación de las distintas familias – Funcionalidades – Usos y explotación
Introducción (3) Justificación • Poca información disponible • Necesario conocer y estudiar de que manera afectan estos programas a 3 grandes grupos: • Usuarios domésticos • Empresas • Internet • Vital determinar y difundir los peligros de estas redes para concienciar a usuarios y administradores Estructura y funcionamiento
Introducción(4) Cifras Primeros 6 meses del 2006 • 250.000 Ordenadores infectados por día • 330.000 en un mes en España • 57.000 bots activos diariamente • 4.7 millones de ordenadores fueron usados alguna vez en redes bot • Botnets de hasta 50.000 sistemas comprometidos ¡ Solo en redes detectadas!
Estructura Diferentes topologías C&C: • Centralizada • Punto a punto (p2p) • Aleatoria
Estructura (2) Bot C&C IRC • Arquitectura centralizada • 3 partes básicas Ventajas: – Protocolo conocido – Baja latencia – Facilidad en el diseño Inconvenientes – Fácil detección – Dependencia del sistema central USO DE DNS DINÁMICOS Y SERVIDORES IRC PRIVADOS
Estructura (3) • Bot IRC: 1993: Eggdrop 1988: Gusano Morris • Gusanos 1999-2000:Melissa /I Love you 2001: Core Red 2003-2004:Blaster/Sasser
Funcionamiento Fases de un ataque •Exploración •Acceso •Consolidación •Explotación
Funcionamiento(2) Bot Master crea el archivo infectado con el programa Interfaz gráfica Archivos de cabecera o (GUI) en el mismo código char botid[] = "rx01";// bot id char version[] = "[rxBot v0.6.6 b]";// Bots !version reply char password[] = "changeme"; // bot password char server[] = "irc.rizon.net";// server char serverpass[] = "";// server password char channel[] = "#rxbot";// channel that the bot should join char chanpass[] = "";// channel password char server2[] = "";// backup server (optional) char channel2[] = "";// backup channel (optional) char chanpass2[] = "";// backup channel password (optional) char filename[] = "wuamgrd.exe";// destination file name char keylogfile[] = "keys.txt";// keylog filename char valuename[] = "Microsoft Update";// value name for autostart char nickconst[] = "[RX]|";// first part to the bot's nick char modeonconn[] = "-x+B";// Can be more than one mode and - char chanmode[] = "+n+t";// Channel mode after joining char exploitchan[] = "";// Channel where exploit messages get redirected char keylogchan[] = "";// Channel where keylog messages get redirected char psniffchan[] = "";// Channel where psniff messages get redirected char *authost[] = { "*@*.net", "*@*.com" };
Fases de un ataque Exploración y acceso: Bot semilla Distribución vía: Spam, P2p, Vulnerabilidades, IRC
Exploración y acceso .advscan lsass 100 5 999 -r Servidor IRC .advscan <módulo> <nºhilos><retraso><opciones> !scan <dirección ip> <nº hilos> <retraso> <tipo>
Exploración y acceso (2) Explotación • Equipos con vulnerabilidades sin parchear (Dcom, Lsass…) •Equipos Previamente infectados por gusanos • Netbios sin contraseña o contraseñas débiles
Exploración y acceso(3)
Exploración y acceso (4)
Consolidación • Uso de módulos para asegurarse la ejecución en el equipo infectado – Registro – System.ini • Módulos contra Antivirus, Firewalls y programas de virtualización • Módulos que evitan conexiones hacia las direcciones de proveedores de actualizaciones y programas de seguridad • Instalación de Rootkits
Explotación del sistema • DDoS • Spam • Phising • Sniffing-Keylogging: Robo de información sensible • Fraude por clic • Instalación de servidores con contenido ilegal
Comparativa entre los distintos bots estudiados Bot Configuración Spreaders Instalación en el DDOS Proxies/Servidores Protección sistema Microbot Archivo por NO Registro NO NO NO lotes G-Spot GUI NO Registro Flood NO NO Leechbot VB Configuración SI(?) Registro SYNFlood NO Ciertos Antivirus en el mismo programa Data Spy GUI NO Registro UDP (Plugin) Proxy No Network TCP(Plugin) Redirección puertos Http(plugin) Omega Project Configuración NetBios Registro NO Sock (plugin) Procesos y II en archivo de servicios de cabecera antivirus y externo firewalls SDbot Configuración NO Registro NO Redirección NO en el mismo fichero SpyBot Configuración NetBios System.ini SYNFlood Http server Firewalls y en archivo de Kuang Redirección antivirus cabecera Sub7 externo Kazaa Rbot Configuración Netbios Registro SYNFlood Redireccion Firewalls, en archivo de Kuang TCPFlood Sock4 antivirus, cabecera Sub7 ICMPFLood Http Bloquea acceso a externo Lssas Ftp páginas de Dcom compañías de Dameware seguridad y Mssqql actualizaciones Bagle MyDoom Sasser Upnp PhatbotAgobot GUI Netbios Registro SYNFlood Redireccion Firewalls, Kuang HTTPFlood Http antivirus, Sub7 ICMPFlood Ftp Bloquea acceso a Lssas UDPFlood Smtp páginas de Dcom Targa3Flood Sock4 compañías de Dameware WonkFlood Sock5 seguridad y Mssqql actualizaciones. Bagle Elimina procesos MyDoom en Linux Sasser Upnp
Conclusiones • Aumento del comercio electrónico y aparición de beneficios económicos: Cambio de mentalidad en los atacantes: – 40.000 Euros por una vulnerabilidad en Windows Vista – 15.000 Euros otros sistemas – Código fuente que permita construir un botnet: 5.000-20.000 – Números de tarjetas de crédito y PIN: 400 Euros – Cuentas PayPal: 5 euros • Desconocimiento generalizado sobre el tema siendo el arma más polivalente de los autores de crímenes cibernéticos. • Mejoras tecnológicas en los programas bot: – Cifrado de las comunicaciones – Uso de protocolos alternativos – Topologías más difícilmente detectables – Uso de programas de empaquetamiento – Ataques a pequeña escala • Problemas en la detección de los creadores y en los programas por parte de antivirus • Equipos de respuesta y programas de detección insuficientes
Preguntas
Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007

Recomendados

Investigacion wireshark
Investigacion wiresharkInvestigacion wireshark
Investigacion wiresharkDulce Romero Garcia
 
Wireshark a.1
Wireshark a.1Wireshark a.1
Wireshark a.1Tensor
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Wireshark
Wireshark Wireshark
Wireshark Eliana Navarro J
 
Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Chema Alonso
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasMiguel Morales
 
Blfs es 5.0
Blfs es 5.0Blfs es 5.0
Blfs es 5.01 2d
 
Wireshark
WiresharkWireshark
WiresharkSantiago NA
 

Recomendados

Investigacion wireshark
Investigacion wiresharkInvestigacion wireshark
Investigacion wiresharkDulce Romero Garcia
 
Wireshark a.1
Wireshark a.1Wireshark a.1
Wireshark a.1Tensor
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Wireshark
Wireshark Wireshark
Wireshark Eliana Navarro J
 
Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Asegúr@IT II - Seguridad En Iis7
Asegúr@IT II - Seguridad En Iis7Chema Alonso
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasMiguel Morales
 
Blfs es 5.0
Blfs es 5.0Blfs es 5.0
Blfs es 5.01 2d
 
Wireshark
WiresharkWireshark
WiresharkSantiago NA
 
Intercambio de experiencias entre profesionales de la salud en entornos virtu...
Intercambio de experiencias entre profesionales de la salud en entornos virtu...Intercambio de experiencias entre profesionales de la salud en entornos virtu...
Intercambio de experiencias entre profesionales de la salud en entornos virtu...Desarrollo profesional en salud - Agencia de Calidad Sanitaria de Andalucía
 
Modelo murciano acreditacion
Modelo murciano acreditacionModelo murciano acreditacion
Modelo murciano acreditacionDesarrollo profesional en salud - Agencia de Calidad Sanitaria de Andalucía
 
Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]Mauricio
 
Edición 8 suplemento cultural rezistencia
Edición 8 suplemento cultural rezistenciaEdición 8 suplemento cultural rezistencia
Edición 8 suplemento cultural rezistenciaMiuler Vásquez González
 
Arte románica. 2º ESO
Arte románica. 2º ESOArte románica. 2º ESO
Arte románica. 2º ESOquiquehs
 
Proceso asistencial integrado - Sepsis grave adultos
Proceso asistencial integrado - Sepsis grave adultosProceso asistencial integrado - Sepsis grave adultos
Proceso asistencial integrado - Sepsis grave adultosDesarrollo profesional en salud - Agencia de Calidad Sanitaria de Andalucía
 
8 Busco Ideas Dentro
8 Busco Ideas Dentro8 Busco Ideas Dentro
8 Busco Ideas DentroOscarTM
 
2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De Empresas2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De EmpresasOscarTM
 
Clase 8
Clase 8Clase 8
Clase 8Psicolinguistica
 
9 Madurar La Idea
9 Madurar La Idea9 Madurar La Idea
9 Madurar La IdeaOscarTM
 
Charla comas
Charla comasCharla comas
Charla comasSabrina Elba
 
La RevolucióN Industrial
La RevolucióN IndustrialLa RevolucióN Industrial
La RevolucióN IndustrialAndres
 
Fichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World RecordFichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World Record📊 Isidro Pérez Ramón
 
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología CelularClase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología CelularRoberto Pineda
 
7 Busco Ideas Fuera
7 Busco Ideas Fuera7 Busco Ideas Fuera
7 Busco Ideas FueraOscarTM
 
Introducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidadIntroducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidadtayzee
 
Estrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjteEstrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjtejavierjess
 
Webquest exp fredy
Webquest exp fredyWebquest exp fredy
Webquest exp fredyfredy
 
Aprendizaje colaborativo a través de comunidades de práctica online
Aprendizaje colaborativo a través de comunidades de práctica onlineAprendizaje colaborativo a través de comunidades de práctica online
Aprendizaje colaborativo a través de comunidades de práctica onlineDesarrollo profesional en salud - Agencia de Calidad Sanitaria de Andalucía
 
La expansión de macedonia y el helenismo
La expansión de macedonia y el helenismoLa expansión de macedonia y el helenismo
La expansión de macedonia y el helenismoAndres
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Dani Adastra
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 

Más contenido relacionado

Destacado

Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]Mauricio
 
Arte románica. 2º ESO
Arte románica. 2º ESOArte románica. 2º ESO
Arte románica. 2º ESOquiquehs
 
8 Busco Ideas Dentro
8 Busco Ideas Dentro8 Busco Ideas Dentro
8 Busco Ideas DentroOscarTM
 
2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De Empresas2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De EmpresasOscarTM
 
9 Madurar La Idea
9 Madurar La Idea9 Madurar La Idea
9 Madurar La IdeaOscarTM
 
La RevolucióN Industrial
La RevolucióN IndustrialLa RevolucióN Industrial
La RevolucióN IndustrialAndres
 
Fichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World RecordFichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World Record📊 Isidro Pérez Ramón
 
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología CelularClase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología CelularRoberto Pineda
 
7 Busco Ideas Fuera
7 Busco Ideas Fuera7 Busco Ideas Fuera
7 Busco Ideas FueraOscarTM
 
Introducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidadIntroducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidadtayzee
 
Estrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjteEstrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjtejavierjess
 
Webquest exp fredy
Webquest exp fredyWebquest exp fredy
Webquest exp fredyfredy
 
La expansión de macedonia y el helenismo
La expansión de macedonia y el helenismoLa expansión de macedonia y el helenismo
La expansión de macedonia y el helenismoAndres
 

Destacado (20)

Intercambio de experiencias entre profesionales de la salud en entornos virtu...
Intercambio de experiencias entre profesionales de la salud en entornos virtu...Intercambio de experiencias entre profesionales de la salud en entornos virtu...
Intercambio de experiencias entre profesionales de la salud en entornos virtu...
 
Modelo murciano acreditacion
Modelo murciano acreditacionModelo murciano acreditacion
Modelo murciano acreditacion
 
Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]Diapositivas de la_empresa[1]
Diapositivas de la_empresa[1]
 
Edición 8 suplemento cultural rezistencia
Edición 8 suplemento cultural rezistenciaEdición 8 suplemento cultural rezistencia
Edición 8 suplemento cultural rezistencia
 
Arte románica. 2º ESO
Arte románica. 2º ESOArte románica. 2º ESO
Arte románica. 2º ESO
 
Proceso asistencial integrado - Sepsis grave adultos
Proceso asistencial integrado - Sepsis grave adultosProceso asistencial integrado - Sepsis grave adultos
Proceso asistencial integrado - Sepsis grave adultos
 
8 Busco Ideas Dentro
8 Busco Ideas Dentro8 Busco Ideas Dentro
8 Busco Ideas Dentro
 
2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De Empresas2 La Idea Y La Creacion De Empresas
2 La Idea Y La Creacion De Empresas
 
Clase 8
Clase 8Clase 8
Clase 8
 
9 Madurar La Idea
9 Madurar La Idea9 Madurar La Idea
9 Madurar La Idea
 
Charla comas
Charla comasCharla comas
Charla comas
 
La RevolucióN Industrial
La RevolucióN IndustrialLa RevolucióN Industrial
La RevolucióN Industrial
 
Fichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World RecordFichas de producto para dominar el mundo (Online) Quondos World Record
Fichas de producto para dominar el mundo (Online) Quondos World Record
 
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología CelularClase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
Clase de Ontogenia y Filogenia de la Conciencia: Fenomenología Celular
 
7 Busco Ideas Fuera
7 Busco Ideas Fuera7 Busco Ideas Fuera
7 Busco Ideas Fuera
 
Introducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidadIntroducción a la evaluación de accesibilidad
Introducción a la evaluación de accesibilidad
 
Estrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjteEstrategias tutoria virtual s y a jjte
Estrategias tutoria virtual s y a jjte
 
Webquest exp fredy
Webquest exp fredyWebquest exp fredy
Webquest exp fredy
 
Aprendizaje colaborativo a través de comunidades de práctica online
Aprendizaje colaborativo a través de comunidades de práctica onlineAprendizaje colaborativo a través de comunidades de práctica online
Aprendizaje colaborativo a través de comunidades de práctica online
 
La expansión de macedonia y el helenismo
La expansión de macedonia y el helenismoLa expansión de macedonia y el helenismo
La expansión de macedonia y el helenismo
 

Similar a Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Dani Adastra
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3AngelSoto104
 
X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)campus party
 
Marketing de Proximidad y Open Source :-: Sesion 2
Marketing de Proximidad y Open Source :-: Sesion 2Marketing de Proximidad y Open Source :-: Sesion 2
Marketing de Proximidad y Open Source :-: Sesion 2Roberto Díaz Ortega
 
Barcamp v5 by Jose ToNy Verdin at Culiacan Sinaloa
Barcamp v5 by Jose ToNy Verdin at Culiacan SinaloaBarcamp v5 by Jose ToNy Verdin at Culiacan Sinaloa
Barcamp v5 by Jose ToNy Verdin at Culiacan SinaloaJose Antonio Chavez Verdin
 
Ms config
Ms configMs config
Ms configDGS
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2Terrafx9
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosDavid Barroso
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Rod Hinojosa
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidosJaziel Torres
 

Similar a Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (20)

Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)
 
Gestión Remota de Equipos con Python
Gestión Remota de Equipos con PythonGestión Remota de Equipos con Python
Gestión Remota de Equipos con Python
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Marketing de Proximidad y Open Source :-: Sesion 2
Marketing de Proximidad y Open Source :-: Sesion 2Marketing de Proximidad y Open Source :-: Sesion 2
Marketing de Proximidad y Open Source :-: Sesion 2
 
Barcamp v5 by Jose ToNy Verdin at Culiacan Sinaloa
Barcamp v5 by Jose ToNy Verdin at Culiacan SinaloaBarcamp v5 by Jose ToNy Verdin at Culiacan Sinaloa
Barcamp v5 by Jose ToNy Verdin at Culiacan Sinaloa
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Ms config
Ms configMs config
Ms config
 
Apuntes SO examen.pdf
Apuntes SO examen.pdfApuntes SO examen.pdf
Apuntes SO examen.pdf
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kucha
 
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
Present3
Present3Present3
Present3
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
 

Último

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 

Último (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 

Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos

  • 1. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007
  • 2. Índice • Introducción • Estructura • Funcionamiento • Conclusiones
  • 3. Introducción Definiciones Bot: Programas sirvientes que realizan determinadas acciones a base de comandos emitidos desde un controlador. El tipo de bot que estudiaremos es el denominado bot C&C (Command and Control) Botnet: Red de equipos comprometidos (bots) controlados desde un equipo central, empleando diversos protocolos Bot herder o bot master: Es el “dueño” de la red de bots
  • 4. Introducción(2) Objetivos • Dar a conocer este tipo de redes – Estructura – Características – Funcionamiento • Análisis de los distintos tipos de programas – Clasificación de las distintas familias – Funcionalidades – Usos y explotación
  • 5. Introducción (3) Justificación • Poca información disponible • Necesario conocer y estudiar de que manera afectan estos programas a 3 grandes grupos: • Usuarios domésticos • Empresas • Internet • Vital determinar y difundir los peligros de estas redes para concienciar a usuarios y administradores Estructura y funcionamiento
  • 6. Introducción(4) Cifras Primeros 6 meses del 2006 • 250.000 Ordenadores infectados por día • 330.000 en un mes en España • 57.000 bots activos diariamente • 4.7 millones de ordenadores fueron usados alguna vez en redes bot • Botnets de hasta 50.000 sistemas comprometidos ¡ Solo en redes detectadas!
  • 7. Estructura Diferentes topologías C&C: • Centralizada • Punto a punto (p2p) • Aleatoria
  • 8. Estructura (2) Bot C&C IRC • Arquitectura centralizada • 3 partes básicas Ventajas: – Protocolo conocido – Baja latencia – Facilidad en el diseño Inconvenientes – Fácil detección – Dependencia del sistema central USO DE DNS DINÁMICOS Y SERVIDORES IRC PRIVADOS
  • 9. Estructura (3) • Bot IRC: 1993: Eggdrop 1988: Gusano Morris • Gusanos 1999-2000:Melissa /I Love you 2001: Core Red 2003-2004:Blaster/Sasser
  • 10. Funcionamiento Fases de un ataque •Exploración •Acceso •Consolidación •Explotación
  • 11. Funcionamiento(2) Bot Master crea el archivo infectado con el programa Interfaz gráfica Archivos de cabecera o (GUI) en el mismo código char botid[] = "rx01";// bot id char version[] = "[rxBot v0.6.6 b]";// Bots !version reply char password[] = "changeme"; // bot password char server[] = "irc.rizon.net";// server char serverpass[] = "";// server password char channel[] = "#rxbot";// channel that the bot should join char chanpass[] = "";// channel password char server2[] = "";// backup server (optional) char channel2[] = "";// backup channel (optional) char chanpass2[] = "";// backup channel password (optional) char filename[] = "wuamgrd.exe";// destination file name char keylogfile[] = "keys.txt";// keylog filename char valuename[] = "Microsoft Update";// value name for autostart char nickconst[] = "[RX]|";// first part to the bot's nick char modeonconn[] = "-x+B";// Can be more than one mode and - char chanmode[] = "+n+t";// Channel mode after joining char exploitchan[] = "";// Channel where exploit messages get redirected char keylogchan[] = "";// Channel where keylog messages get redirected char psniffchan[] = "";// Channel where psniff messages get redirected char *authost[] = { "*@*.net", "*@*.com" };
  • 12. Fases de un ataque Exploración y acceso: Bot semilla Distribución vía: Spam, P2p, Vulnerabilidades, IRC
  • 13. Exploración y acceso .advscan lsass 100 5 999 -r Servidor IRC .advscan <módulo> <nºhilos><retraso><opciones> !scan <dirección ip> <nº hilos> <retraso> <tipo>
  • 14. Exploración y acceso (2) Explotación • Equipos con vulnerabilidades sin parchear (Dcom, Lsass…) •Equipos Previamente infectados por gusanos • Netbios sin contraseña o contraseñas débiles
  • 17. Consolidación • Uso de módulos para asegurarse la ejecución en el equipo infectado – Registro – System.ini • Módulos contra Antivirus, Firewalls y programas de virtualización • Módulos que evitan conexiones hacia las direcciones de proveedores de actualizaciones y programas de seguridad • Instalación de Rootkits
  • 18. Explotación del sistema • DDoS • Spam • Phising • Sniffing-Keylogging: Robo de información sensible • Fraude por clic • Instalación de servidores con contenido ilegal
  • 19. Comparativa entre los distintos bots estudiados Bot Configuración Spreaders Instalación en el DDOS Proxies/Servidores Protección sistema Microbot Archivo por NO Registro NO NO NO lotes G-Spot GUI NO Registro Flood NO NO Leechbot VB Configuración SI(?) Registro SYNFlood NO Ciertos Antivirus en el mismo programa Data Spy GUI NO Registro UDP (Plugin) Proxy No Network TCP(Plugin) Redirección puertos Http(plugin) Omega Project Configuración NetBios Registro NO Sock (plugin) Procesos y II en archivo de servicios de cabecera antivirus y externo firewalls SDbot Configuración NO Registro NO Redirección NO en el mismo fichero SpyBot Configuración NetBios System.ini SYNFlood Http server Firewalls y en archivo de Kuang Redirección antivirus cabecera Sub7 externo Kazaa Rbot Configuración Netbios Registro SYNFlood Redireccion Firewalls, en archivo de Kuang TCPFlood Sock4 antivirus, cabecera Sub7 ICMPFLood Http Bloquea acceso a externo Lssas Ftp páginas de Dcom compañías de Dameware seguridad y Mssqql actualizaciones Bagle MyDoom Sasser Upnp PhatbotAgobot GUI Netbios Registro SYNFlood Redireccion Firewalls, Kuang HTTPFlood Http antivirus, Sub7 ICMPFlood Ftp Bloquea acceso a Lssas UDPFlood Smtp páginas de Dcom Targa3Flood Sock4 compañías de Dameware WonkFlood Sock5 seguridad y Mssqql actualizaciones. Bagle Elimina procesos MyDoom en Linux Sasser Upnp
  • 20. Conclusiones • Aumento del comercio electrónico y aparición de beneficios económicos: Cambio de mentalidad en los atacantes: – 40.000 Euros por una vulnerabilidad en Windows Vista – 15.000 Euros otros sistemas – Código fuente que permita construir un botnet: 5.000-20.000 – Números de tarjetas de crédito y PIN: 400 Euros – Cuentas PayPal: 5 euros • Desconocimiento generalizado sobre el tema siendo el arma más polivalente de los autores de crímenes cibernéticos. • Mejoras tecnológicas en los programas bot: – Cifrado de las comunicaciones – Uso de protocolos alternativos – Topologías más difícilmente detectables – Uso de programas de empaquetamiento – Ataques a pequeña escala • Problemas en la detección de los creadores y en los programas por parte de antivirus • Equipos de respuesta y programas de detección insuficientes
  • 22. Escuela Técnica Superior de Ingeniería Informática Ingeniería Técnica en Informática de Sistemas Bot y Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos Realizado por Adrián Belmonte Martín Dirigido por Sergio Pozo Hidalgo Departamento Lenguajes y Sistemas Informáticos Sevilla, Marzo de 2007