En esta segunda entrega presentaré un ejemplo de la creación, configuración y funcionamiento de una red botnet, pero en un entorno controlado. Para la implementación de esta práctica se usó el bot ruso llamado Illusion, el cual tiene como fin principal la realización de ataques de negación de servicios, y permite ser controlado tanto por irc como por http. Para este ejemplo el control se hará por medio de irc.
Para no hacer esta entrada más extensa, solo mostraré las configuraciones de este bot y algunas de sus funciones. Partiremos del hecho de que tenemos:
- Un servidor IRC en una de nuestras máquinas, con un canal de chat, en donde se llevará a cabo el control de las máquinas zombie a través del envió de comandos.
- Un cliente IRC que permitirá la comunicación con el bot, logrando el envió de instrucciones por medio del canal de chat creado anteriormente. Este cliente se configura con los datos del dueño de la Botnet, como el alias, el servidor Irc y el puerto.
Configuración del Bot
El software usado para la creación de esta red Botnet es el denominado Illusion en su versión 1.1.
Los pasos para su configuración son los siguientes:
- Luego de descomprimido el archivo se pulsa sobre el icono de nombre Build y se presiona el botón Edit Binary.
- A continuación, se seleccionará el bot para su edición, en este caso es BOTBINARY.
- Realizado esto se ingresarán los datos de configuración del bot. Este soporta dos servidores IRC; como solo hay uno se escribió la dirección de este en ambos puntos, acompañado del número de puerto, y el nombre del canal por el conectará y recibirá las ordenes del dueño de la botnet. Para guardar los cambios se presiona en save y este actualiza el botbinary con los nuevos datos y queda listo para la propagación. Este instalador es el que se va a ejecutar en la máquina víctima.
Controlando la máquina zombie desde el canal Irc
Después de haber infectado la máquina, el bot se conectará al canal Irc creado, en espera de las ordenes del herder como se muestra a continuación.
Teniendo al drone en el canal, se procederá a iniciar sesión como dueño de la botnet, para que este responda a nuestras peticiones. Para ello se usa el comando login acompañado de la contraseña que se le configuró como Bot Password.
Si desea conocer todos los comandos disponibles para controlar esta botnet podrá visitar el siguiente sitio http://troyanosyvirus.com.ar/2006/07/comandos-illusion-bot.html, o mirar dentro de la carpeta de descarga de este. Solo expondré un ejemplo de alguno de ellos, ya que el objetivo de este escrito no es ser un manual, sino servir de práctica para observar el funcionamiento de una botnet y ver lo sencillo que es crearla.
- sinfo: muestrará datos relacionados del sistema.
- ftpd [port]: Permitirá realizar una conexión ftp por el puerto indicado.
En la ventana de inicio de la aplicación, se introducirá en la casilla de Servidor la ip de la máquina zombie; en nombre de usuario, la contraseña con las que el bot nos identificará como amo, y finalmente se introducirá el puerto.
- synflood: este ataque se caracteriza por intentar realizar un gran número de conexiones Tcp con la bandera Syn activa, haciendo que la máquina víctima responda con un Syn/ack y quede aguardando una respuesta Ack que nunca es enviada. Esto ocasiona que se consuman recursos en la espera y que se acumulen las peticiones en cola, hasta que se dé una negación de servicios.
- bindport [port], este comando permitirá que una Shell se conecte al puerto especificado.
Se establece una conexión indicándole a netcat la ip del equipo zombie y el puerto que está en escucha.
Este bot, es bastante antiguo, y es detectado por todos los antivirus. Además existen otros medios más eficientes de tomar control, a parte del irc. La idea de este artículo es dar un pequeño ejemplo de la creación y lo peligroso que puede ser caer en una red botnet.
¡Saludos!