Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
X implementecion de botnet mauricio y osnaider (seg. y redes)
1. Análisis e implementación de Botnet sobre sistemas operativos Windows Osnaider David Atencia Arrieta Mauricio Jimenez Sánchez
2. Agenda Concepto Botnet. Estructura de una Botnet. Medios de Infección y Distribución de las Botnet. Comando y Control (C&C). Negocio Botnet. Ejemplos de botnet Demo.
3. Botnet Bot es un diminutivo de la palabra «robot». Son pequeños programas automatizados que ejecutan acciones obedeciendo ordenes externas de manera transparente al usuario. Por tanto: Una botnet es unared de computadoras o dispositivos móviles infectados por un bot malicioso controlados remotamente por un servidor para fines lucrativos y generalmente ilegales.
5. Medios de Infección y Distribución de las Botnet movimiento en la red: videos, música, fotos, software, etc. Además la prosperidad de las redes P2P
6. Algunas vulnerabilidades conocidas Microsoft Windows DCOM RPC Interface Buffer Overrun (MS03-026) Microsfot Windows NetApiRemote Buffer Overflow (MS08-067) Microsoft Windows LSASS buffer overflowvulnerability (TCP port 445)
9. Comando y Control (C&C) Poca efectividad en conexiones cliente/servidor de los antiguos troyanos. Uso de redes de servicios ya existentes(IRC, HTTP, P2P) para sus comunicaciones.
10. Arquitectura C&C centralizado El servidor IRC es quien soporta las miles de conexiones. Comunicaciones bajo un protocolo confiable.
11.
12. Push style botnets basadas en IRC Envío de mensajes de control(TOPIC, IRC PRIVMSG ) Identificación mediante claves
13. Uso del comando bot.info en IRC Botnet
14. Pull style Los servidores IRC se ven sustituidos por servidores web. Un poco mas de anonimato.
15.
16. Fast-flux (single-flux, double-flux) Uso de Proxy. Uso de DNS. single-flux(modificación en los registros A) single-flux(modificación en los registros NS)
17.
18. Arquitectura C&C descentralizado Basadas en redes p2p estructuradas y no estructuradas. las órdenes llegan a través de cualquier nodo de la red.
23. Herramientas de Denegación de Servicio LOIC (LowOrbit Ion Cannon) y HOIC (High Orbit Ion Cannon) Estas herramientas constan de una interfaz muy amigable desde la cual se puede elegir entre diversas opciones de ataque como son peticiones UDP, TCP o HTTP así como la velocidad y la cantidad de threads simultáneos. Ataques SynFlood fue el llevado a cabo recientemente por el grupo Anonymous de 4chan contra los servidores de Amazon y PayPal mediante estas herramientas debido a los altercados con Wikileaks
24. Ejemplos de Botnets SpyBot Spybot es un troyano código abierto, es una derivación de SDBot. emerge en el 2003 y recolecta colección de la actividad de los logs del computador, datos de formularios web, listas de direcciones de email, y listas de url visitados y explotas algunas vulnerabilidades conocidas. Spybot es muy fácil adquirirlo y es complicado detectar e identificar esta botnet.
36. Infección del Malware El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un "centro de mando y control" Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft, pero también utilizó puertas de entrada como unidades de almacenamiento extraíble (USB), MSN Messenger, y programas P2P que afectaban a Windows XP y sistemas anteriores.
37.
38. Negocio Mariposa La botnet puede ser alquilada por terceras personas y organizaciones. Las actividades confirmadas incluyen ataques de denegación de servicio, el spam de correo electrónico, robo de información personal y cambiar la resultados de la búsqueda de un navegador mostraría el fin de mostrar anuncios y anuncios pop-up.
39. Control y Comando Los comandos se envían desde el servidor de comando y control para el proceso de bot como mensajes cifrados ASCII.
40. Conexiones donde fueron observadas las siguientes ips: • 62.128.52.191 • 200.74.244.84 • 66.197.176.41 • 24.173.86.145 • 74.208.162.142 • 87.106.179.75 • 204.16.173.30 • 76.73.56.12 Conexiones donde fueron observadas los siguientes puertos: • 5906 • 5907 • 3431 • 3435 • 3437 • 3434 • 3433
41. ·539 e ilusión !YOURPASS!set!channel!#CHANNEL !join!#CHANNEL!part!#CHANNEL!syn!HOST!PORT!http!HOST!PORT!download!URL!getkeys!URL (CDKey.DB File)!location!status!version!die!bye!opme!stopsyn!stophttp!stopall!logout Demo