Te hacemos fácil la tecnología

El día a día de un botnet


Botnets,uno de los términos al que más se recurre últimamente en la televisión cuando entra por la puerta grande los ataques de Anonymous, pero ¿sabemos como funcionan? ¿conocemos sus efectos en sus objetivos? ¿como se distribuyen entre miembros de un grupo las shells?

Una botnet por definición, es un grupo de máquinas comprometidas o infectadas de alguna forma que en el momento que el atacante y a la vez poseedor de esas máquinas las requiera para realizar un ataque, con solo abrir su panel de administración podrá realizar alguna acción sobre ellas.

Hay varios tipos de botnets, podemos encontrarlas en equipos de escritorio troyanizados, que siempre ha sido lo más común; otras en las cuales el usuario más que infectado es colaborador, y cede su ancho de banda a un ataque dirigido y distribuido, como en el caso de los ataques DDoS de Anonymous y el ya conocido LOIC; y por último las redes botnets de las que vamos ha hablar hoy, que son las más simples de infectar y recolectar, ya que simplemente hay que subir un PHP a un servidor web comprometido.

En este tipo de redes zombie la infección dura menos ya que si el administrador “hace bien su trabajo”, detectará rápidamente que su sistema hace cosas que no debería.
Para “tomar” como zombie una maquina hay que comprometerla y subir simplemente un archivo PHP que será accesible desde el exterior, este archivo mediante un método POST, recibe dos datos, una IP víctima y un tiempo de duración del ataque.

En este link de pastebin podemos ver una lista bastante larga de 119 URL’s que tienen casi todos una característica en común, tienen un directorio llamado webdav y apuntan a una ruta php. Algunos links todavía “están vivos” y podemos ver algo como esto:

Como podemos ver, sin lugar a dudas un súper jaquer ha sido el creador, fondo negro, letras en color sangre con el nombre del autor para mayor regodeo de su ego y un par de Texbox para recoger información: Host y Time.

Si ponemos algo en las cajas y usamos un proxy web como ZAP podemos ver lo siguiente:

Esta es la petición GET que se le envía a la shell del host infectado
Como podemos ver, es un método GET con los datos que comentamos arriba, en este caso lo lanzamos a localhost solo por probar

En la red podemos encontrar varios ejemplos de este código en PHP, como por ejemplo este, en la red circulan muchos pero son todos prácticamente iguales.

Por otro lado, como hemos explicado más arriba a pesar de que estos PHP se puedan controlar desde el navegador, la lógica de una botnet es poder controlar todos los equipos infectados desde un mismo programa o panel web, en este otro pastebin podemos ver un ejemplo de un programa escrito en Visual Basic que controlaría los equipos infectados y de esta forma realizar un ataque conjunto contra el objetivo de turno.
Según el ancho de banda de cada víctima la cantidad de datos enviados para sobrecargar el objetivo puede variar, pero podemos enviar desde una sola maquina mas de 500Mb en 10 segundos, esta es la “ventaja” de infectar maquinas que están expuestas en internet y es que contamos con el ancho de banda del proveedor de hosting que en la mayoría de los casos es bastante elevado, a diferencia de un ataque desde nuestra maquina local tipo LOIC en el que contamos con un pésimo ancho de banda.

Explicado todo esto, llegaríamos a la recta final del post mostrando este link de Operation Payback y un leak de su lista de shell (AnonOps shell list leaked). Si nos fijamos en las URL’s de las shells de AnonOps (que día tras día crece más) podemos ver que se parecen bastante en el formato a las mostradas en el pastebin que mostramos al inicio del post con el famoso directorio webdav ¿será este el nuevo procedimiento de actuación de Anonymous? Pues vamos a cruzar las URL’s y las IP’s a ver si hay coincidencia.

Primero extraemos las IP’s y las URL’s de las dos listas:

Y posteriormente cruzamos los resultados a la espera de coincidencias:

Como podemos ver existen coincidencias!!!! Podríamos decir que estamos en el camino correcto y que efectivamente las shells iniciales de pastebin coinciden con las de Anonymous. Tenemos que tener en cuenta, como decíamos al principio del post, de que se trata de una lista que es muy dinámica y que puede variar mucho, también, muchas de las shell que se encontraban en el link de Opertation Payback están repetidas, pertenecen a dominios con la misma IP o ya son inexistentes.
Fuente:securitybydefaul

Una respuesta

  1. Pingback: Articulo Indexado en la Blogosfera de Sysmaya

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s