26 mar 2012

Redes botnet. Controlando una botnet por irc (Parte II)

En esta segunda entrega presentaré un ejemplo de la creación, configuración y funcionamiento de una red botnet, pero en un entorno controlado. Para la implementación de esta práctica se usó el bot ruso llamado Illusion, el cual tiene como fin principal la realización de ataques de negación de servicios, y permite ser controlado tanto por irc como por http. Para este ejemplo el control se hará por medio de irc.

Para no hacer esta entrada más extensa, solo mostraré las configuraciones de este bot y algunas de sus funciones. Partiremos del hecho de que tenemos:

  • Un servidor IRC en una de nuestras máquinas, con un canal de chat, en donde se llevará a cabo el control de las máquinas zombie a través del envió de comandos.
  • Un cliente IRC que permitirá la comunicación con el bot, logrando el envió de instrucciones por medio del canal de chat creado anteriormente. Este cliente se configura con los datos del dueño de la Botnet, como el alias, el servidor Irc y el puerto.

Configuración del Bot

El software usado para la creación de esta red Botnet es el denominado Illusion en su versión 1.1.

Los pasos para su configuración son los siguientes:

  • Luego de descomprimido el archivo se pulsa sobre el icono de nombre Build y se presiona el botón Edit Binary.

image

  • A continuación, se seleccionará el bot para su edición, en este caso es BOTBINARY.
  • Realizado esto se ingresarán los datos de configuración del bot. Este soporta dos servidores IRC; como solo hay uno se escribió la dirección de este en ambos puntos, acompañado del número de puerto, y el nombre del canal por el conectará y recibirá las ordenes del dueño de la botnet. Para guardar los cambios se presiona en save y este actualiza el botbinary con los nuevos datos y queda listo para la propagación. Este instalador es el que se va a ejecutar en la máquina víctima.

image

Controlando la máquina zombie desde el canal Irc

Después de haber infectado la máquina, el bot se conectará al canal Irc creado, en espera de las ordenes del herder como se muestra a continuación.

image

Teniendo al drone en el canal, se procederá a iniciar sesión como dueño de la botnet, para que este responda a nuestras peticiones. Para ello se usa el comando login acompañado de la contraseña que se le configuró como Bot Password.

image

Si desea conocer todos los comandos disponibles para controlar esta botnet podrá visitar el siguiente sitio http://troyanosyvirus.com.ar/2006/07/comandos-illusion-bot.html, o mirar dentro de la carpeta de descarga de este. Solo expondré un ejemplo de alguno de ellos, ya que el objetivo de este escrito no es ser un manual, sino servir de práctica para observar el funcionamiento de una botnet y ver lo sencillo que es crearla.

  • sinfo: muestrará datos relacionados del sistema.

image

  • ftpd [port]: Permitirá realizar una conexión ftp por el puerto indicado.

image

En la ventana de inicio de la aplicación, se introducirá en la casilla de Servidor la ip de la máquina zombie; en nombre de usuario, la contraseña con las que el bot nos identificará como amo, y finalmente se introducirá el puerto.

image

  • synflood: este ataque se caracteriza por intentar realizar un gran número de conexiones Tcp con la bandera Syn activa, haciendo que la máquina víctima responda con un Syn/ack y quede aguardando una respuesta Ack que nunca es enviada. Esto ocasiona que se consuman recursos en la espera y que se acumulen las peticiones en cola, hasta que se dé una negación de servicios.

image

  • bindport [port], este comando permitirá que una Shell se conecte al puerto especificado.

image

Se establece una conexión indicándole a netcat la ip del equipo zombie y el puerto que está en escucha.

image

Este bot, es bastante antiguo, y es detectado por todos los antivirus. Además existen otros medios más eficientes de tomar control, a parte del irc. La idea de este artículo es dar un pequeño ejemplo de la creación y lo peligroso que puede ser caer en una red botnet.

¡Saludos!

10 comentarios:

  1. Gracias por el tutorial, pero esto ya esta desfasado y ya no se utiliza, aparte de por su detectabilidad por su ineficacia. Saludos

    ResponderEliminar
  2. Otro claro ejemplo de que solo llegan a leer el titulo de un post :D,mira antes de todo.. lo que indica al final del documento el redactor"Este bot, es bastante antiguo, y es detectado por todos los antivirus. Además existen otros medios más eficientes de tomar control, a parte del irc. "xDDD este documento por lo que vi, esta orientado solo para informar y dar a conocer, no de formar expertos ni nada.Saludos :P

    ResponderEliminar
  3. hombre! ya tenemos al adivino del blog! que sabe lo que leen los demas sin verlo, mira majete cuando tu estabas con el geiperman, ya andaba crackeando programas... aparte es mi opinion, y como ves CORROBORO lo que ha dicho el autor, asi que no te pases de listo Snifer...

    ResponderEliminar
  4. Opino igual que Snifer, tendrías que dedicarle un poco mas de tiempo a la lectura del articulo completo y no solo a mirar las pic's y el titulo.Y con todo respeto si no tienes ninguna critica constructiva no digas nada, me parece.La idea del articulo es crear conciencia y que vean lo que puede pasar al caer en una de estas redes...

    ResponderEliminar
  5. hombre ya tenemos a otro adivino mas y encima comandante, tela, te digo lo mismo que a snifer, encima te permites el lujo de decir lo que tienen o no que manifestar los demas... si es que se te han subido los galones! LOL XD! la verdad es que corroboro lo que ha dicho el autor, este sistema de IRC no funciona, ais que mas constructivo... Yo uso la cythossia, la vertnext, use la zeus y la spyeye y te aseguro que son mas efectivas que esta por IRC

    ResponderEliminar
  6. :O Alabo sea cesar ;) bien por ti bro que sepas todo crackeo de programas y demas bien por ti =) felicidades lastimosamente no se nada =( ni modo.Por lo tanto creo que solo es un comentario si no describiste de manera correcta :).Saludos

    ResponderEliminar
  7. Buenas a todos, por favor, no hagáis un flame de este post. Genial articulo kari_243, como siempre ;)Un abrazo

    ResponderEliminar
  8. jajjajja Bueno, ante todo gracias a Snifer y Comandante Linux, por ver en verdad el enfoque del articulo :). RedLion, por pasar por aquí y dar tu opinión, como lo exprese, el artículo no fue hecho para dañar, creo q ya pase y supere la etapa de enfocar todo a destruir. El objetivo es para crear conciencia de que a pesar de que es un bot antiguo, todo lo que se puede llegar a sufrir si caes en una de estas redes. No quiero fomentar más polémica. :)Juan, Gracias y saludos para ti también :)Saludos!!

    ResponderEliminar
  9. Hola,Como diria un viejo comercial en mi Pais "A MI ME GUSTO" xDNo soy racista ni pretendo discrimnar el sexo, pero realmente ver una mujer en este mundo tocando estos temas q para mi particularmente son grandiosos y nuevos para mi.Felicitaciones, ojala muestres algo mas de esto.BytesDino

    ResponderEliminar
  10. Hola Dino Muchas gracias por tu comentario. Y si, la idea es seguir haciendo publicaciones. Ahora que salga de exámenes volveré a escribir. Saludos!! :D

    ResponderEliminar