1. Análisis e implementación de Botnet sobre sistemas operativos Windows Osnaider David Atencia Arrieta Mauricio Jimenez Sánchez

2. Agenda Concepto Botnet. Estructura de una Botnet. Medios de Infección y Distribución de las Botnet. Comando y Control (C&C). Negocio Botnet. Ejemplos de botnet Demo.

3. Botnet Bot es un diminutivo de la palabra «robot». Son pequeños programas automatizados que ejecutan acciones obedeciendo ordenes externas de manera transparente al usuario. Por tanto: Una botnet es unared de computadoras o dispositivos móviles infectados por un bot malicioso controlados remotamente por un servidor para fines lucrativos y generalmente ilegales.

4. Estructura de una botnet

5. Medios de Infección y Distribución de las Botnet movimiento en la red: videos, música, fotos, software, etc. Además la prosperidad de las redes P2P

6. Algunas vulnerabilidades conocidas Microsoft Windows DCOM RPC Interface Buffer Overrun (MS03-026) Microsfot Windows NetApiRemote Buffer Overflow (MS08-067) Microsoft Windows LSASS buffer overflowvulnerability (TCP port 445)

7. Entradas y valores en el Registro HKEY_LOCAL_MACHINEoftwareicrosoftindowsurrentVersionun HKEY_LOCAL_MACHINEoftwareicrosoftindowsurrentVersionunServices HKEY_CURRENT_USERoftwareicrosoftindowsurrentVersionun “ConfigurationLoader” = “%System%explore.exe” “ConfigurationLoader” = “MSTasks.exe” “ConfigurationLoader” = “aim95.exe” “ConfigurationLoader” = “cmd32.exe” “ConfigurationLoader”= “IEXPL0RE.EXE” “Configuration Manager” = “Cnfgldr.exe” “Fixnice” = “vcvw.exe” “Internet Config” = “svchosts.exe” “MSSQL” = “Mssql.exe” “MachineTest” = “CMagesta.exe”

8. Mecanismo automatizado de infección

9. Comando y Control (C&C) Poca efectividad en conexiones cliente/servidor de los antiguos troyanos. Uso de redes de servicios ya existentes(IRC, HTTP, P2P) para sus comunicaciones.

10. Arquitectura C&C centralizado El servidor IRC es quien soporta las miles de conexiones. Comunicaciones bajo un protocolo confiable.

12. Push style botnets basadas en IRC Envío de mensajes de control(TOPIC, IRC PRIVMSG ) Identificación mediante claves

13. Uso del comando bot.info en IRC Botnet

14. Pull style Los servidores IRC se ven sustituidos por servidores web. Un poco mas de anonimato.

16. Fast-flux (single-flux, double-flux) Uso de Proxy. Uso de DNS. single-flux(modificación en los registros A) single-flux(modificación en los registros NS)

18. Arquitectura C&C descentralizado Basadas en redes p2p estructuradas y no estructuradas. las órdenes llegan a través de cualquier nodo de la red.

19. Redes p2p estructuradas y no estructuradas

21. Negocio Botnet

22. Troyano FLUX flux) Demo

23. Herramientas de Denegación de Servicio LOIC (LowOrbit Ion Cannon) y HOIC (High Orbit Ion Cannon) Estas herramientas constan de una interfaz muy amigable desde la cual se puede elegir entre diversas opciones de ataque como son peticiones UDP, TCP o HTTP así como la velocidad y la cantidad de threads simultáneos. Ataques SynFlood fue el llevado a cabo recientemente por el grupo Anonymous de 4chan contra los servidores de Amazon y PayPal mediante estas herramientas debido a los altercados con Wikileaks

24. Ejemplos de Botnets SpyBot Spybot es un troyano código abierto, es una derivación de SDBot. emerge en el 2003 y recolecta colección de la actividad de los logs del computador, datos de formularios web, listas de direcciones de email, y listas de url visitados y explotas algunas vulnerabilidades conocidas. Spybot es muy fácil adquirirlo y es complicado detectar e identificar esta botnet.

26. Lanzar ataques DDos como UDP y synflooding.

27. Manejar sistemas antiguos (Win 9x) y sistemas conectados vía modem.

28. Usando Ingeniería Social permite la descarga de módulos infecciosos del Sysbot en usuarios P2P

29. Logear todas las teclas del teclado o solos las teclas presionadas en Internet Explorer.

30. Realizar capturar pantallas del equipo victima.

31. Enviar Spam en sistemas de mensajería instantánea .

32. Esnifiar el trafico de la red para la captura de usuarios y contraseñas.

33. Matar procesos de antivirus y otros productos de seguridad.

34. Algunas variantes de Spybot incluye rootkit en el núcleo del sistema operativo.

36. Infección del Malware El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un "centro de mando y control" Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft, pero también utilizó puertas de entrada como unidades de almacenamiento extraíble (USB), MSN Messenger, y programas P2P que afectaban a Windows XP y sistemas anteriores.

38. Negocio Mariposa La botnet puede ser alquilada por terceras personas y organizaciones. Las actividades confirmadas incluyen ataques de denegación de servicio, el spam de correo electrónico, robo de información personal y cambiar la resultados de la búsqueda de un navegador mostraría el fin de mostrar anuncios y anuncios pop-up.

39. Control y Comando Los comandos se envían desde el servidor de comando y control para el proceso de bot como mensajes cifrados ASCII.

40. Conexiones donde fueron observadas las siguientes ips: • 62.128.52.191 • 200.74.244.84 • 66.197.176.41 • 24.173.86.145 • 74.208.162.142 • 87.106.179.75 • 204.16.173.30 • 76.73.56.12 Conexiones donde fueron observadas los siguientes puertos: • 5906 • 5907 • 3431 • 3435 • 3437 • 3434 • 3433

41. ·539 e ilusión !YOURPASS!set!channel!#CHANNEL !join!#CHANNEL!part!#CHANNEL!syn!HOST!PORT!http!HOST!PORT!download!URL!getkeys!URL (CDKey.DB File)!location!status!version!die!bye!opme!stopsyn!stophttp!stopall!logout Demo

42. Zeus Demo

43. Prablinha Demo