Incident Response, Security and Forensics"

.

lunes, 20 de septiembre de 2010

¡¡ Vendo Botnets baratas, Señoras y Señores...!!!


Hola lectores,

A raíz del último ataque de denegación de servicio (ddos) que recibimos y que afortunadamente no llego a mayores, me dio por pensar y por pensar mal.

Todo esto viene al caso de lo siguiente, el otro día apareció por nuestros 'tarritos de miel' una curiosa mosca, a la que seguimos la pista hasta ver por donde vivía y nos encontramos con un sitio web que contenía un curioso panel de control . Tras 'poseer' el sitio web a través de una vulnerabilidad (que tiene el proveedor ruso que aloja las páginas) pudimos analizar en profundidad su contenido.

Basicamente este es así:


Y este su acceso vía web (se ha ocultado la URL por motivos de seguridad)

Se trata de n0ise Bot, un software diseñado exclusivamente para reclutar zombis y ejecutar ataques de denegación de servicio distribuida. Mirando lo que hace vemos que los comandos que pueden ser empleados a través de la configuración de este malware son los siguientes:

Syn-Flood - synflood*Host*Port*Threads*Sockets
HTTP-Flood - httpflood*Host*Threads
UDP-Flood - udpflood*Host*Port*Threads*Sockets*Packetsize
ICMP-Flood - icmpflood*Host*Port*Threads*Sockets*Packetsize
Multi Stealer - steal*Link to Uploadscript
Download and Execute - downandexe*LinkToFile
Visit Page - visit*Link
Bot Update - update*LinkToNewBot
Remove Bot - remove*Name

Vamos una maravilla de herramienta diseñada exclusivamente para 'joder' actualmente dispone de 1.566 Zombis.



Sin entrar en detalles sobre esta 'utilidad' (ya que no deja de ser un pack muy parecido a Zeus) me asombra la facilidad de conseguir este software que por cierto es de pago. Mirando el código de la aplicación aparece el sitio donde se puede comprar. (y encima te hacen un descuento de 10 euros). También me asombra lo que ellos llaman programa de afiliados, que son 'sites' donde se hace publicidad sobre su producto e intercambian en diversos foros





Cómo se ve en la primera imagen, el precio de n0ise Bot es de 50€ (solo el ejecutable sin el constructor) y 150€ (programa de por vida incluyendo actualizaciones)

El pago se realiza por medio de paysafecard, un sistema de pago online. (paysafecard  es una empresa de dinero electrónico autorizada y regulada por el Financial Services Authority (FSA) en el Reino Unido).

LLegado a este punto, pienso, bueno y ya que estoy aquí que podemos hacer, ¿funcionará realmente esta Botnet?. ¿Y si atacamos alguna infraestructura en China?, ¿o bien algún site con SCADA?, ¿ y si empezamos la primera ciberguerra mundial, atacando a los EEUU?. Bueno no soy tan malo y me voy a portar bien atacandome a mi mismo.Vamos a comprobarlo.

¡¡EMPEZAMOS!!

Lo primero es infectarme una máquina virtual y agregarla como soldado a mi regimiento de zombis. De esta forma podré saber como funciona el BOT y que cualidades tiene.(También me valdrá para futuros posts)

De momento valga como adelanto las claves del registro que está tocando:


HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} 
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} 
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe}
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} 
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} 


Segundo es mandar una orden a mi ejercito para realizar una denegación de servicio sobre uno de los servidores que disponemos en la empresa y que está pensado para este tipo de cosas. Es decir totalmente segmentado y con control de tráfico de red, también disponemos de una conexión a internet dedicada

Vamos a mandarle (mandarnos) un HTTP-Flood y este es el resultado en imágenes.




Si bien no consiguieron tumbar el equipo, ni el servicio web, si que se noto un aumento muy considerable en la lentitud de nuevas conexiones, podríamos decir  que la prueba ha sido satisfactoria y que 'mi' ejercito ha conseguido el objetivo de dejarme inaccesible el sitio web.

CONCLUSIONES


Me preguntaba lo sencillo que resulta realizar una denegación de servicio, no hace falta que seas un programador, ni tener experiencia en informática, tan solo tener algo de dinero, tener un contacto y alquilarte una botnet.

Hasta ahora la industria (por llamarlo de alguna forma) del Malware se ha centrado en obtener a través de las mafias los mayores ingresos de incautos usuarios de banca electrónica que se infectan sin saberlo, pero también es preocupante que los terroristas puedan utilizar estas 'infraestructuras'

¿Os imaginais que los terroristas pudieran tener el control de miles de PC's? Que tuvieran el poder de lanzar ataques a las infraestructuras de un país, (como ocurrió en el famoso ciberataque entre la disputa de Rusia y Georgia) sería demoledor y particularmente sencillo.

10 comentarios:

Solo puedo decir una cosa:

Un aplauso.

Se echaban de menos estas entradas (sigo esperando la del hospital :P)

Realmente espeluznante el saber hasta donde se podría llegar con herramientas de este tipo.. (y lo que estarán haciendo actualmente..)

Eso que dices al final del post ya fue planteado por Charlie Miller en la defcon.El ataque consistía en controlar un 20% de los pc´s y despues un atacar,todo en dos años.Te aconsejo que busques por ahí el pdf esta genial!

sAludos!

Cualquier lammer con mil euros y 2 horas libres al día puede tener una botnet con decenas de miles de bots.

1.Comprar el último bot+exploit pack.
2.Usar las decenas de exploits para webapps que salen todos los días para insertar el iframe del exploit pack en cientos de webs.
3.Ver como ganas miles de bots por momentos.

Eres una maquina Pedro.

Saludos

PD: se echaba de menos la actividad en el blog.

Muy buena entrada :)

He de suponer por la primera imagen del post, que mataste a la "probecita" botnet?

hola amigo si tienes alguna botnet que me vendas o me rentes nose como quieras la necesito este es mi correo enviame un email si la tienes

hola amigo si tienes una bot para la venta o alkilarla me podes escribir a mmi correo dicristian3@hotmail.com

tienes una bot para la venta o alkilarla la necesito escriba a mi correo dicristian3@hotmail.com

349Doy botnets buenas como:
Pony 1.9, Carberp, Zeus, Citadel builder cracked*, Spy Eye, N0ise xD
Cada una a 25 menos la carberp&Ponny

Carbper: 850€
Pony Configurated: 50€

Contacto: marieteliston@gmail.com
WhatsApp: +34 663233200