Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 8 de agosto de 2009

TRiAD Botnet III. Administración remota de zombis multiplataforma

TRiAD es un aplicativo web diseñado para controlar y administrar botnets a través de plataformas GNU/Linux y MS Windows por intermedio del protocolo http y del cual ya hemos hablado recientemente. Forma parte de un proyecto aún más ambicioso por parte de su autor (quien se hace llamar “cross”), denominado Hybrid Remote Administration System y del cual hablaremos en poco tiempo ;P

En esta oportunidad, se trata de la versión 3 de TRiAD Botnet. Esta aplicación web que todavía esta en “pañales” pero que a pesar de ello se encuentra en constante desarrollo y que a partir de la versión 2 se convirtió en un crimeware multiplataforma. Su nombre completo es en realidad TRiAD HTTP Control System v0.3.

Esta última versión del crimeware posee leves diferencias (mejoras diría el creador) con respecto a su antecesor. A primera vista, resalta en su nueva interfaz, algo que podríamos decir, caracteriza al aplicativo.

Al igual que los anteriores, se encuentra escrito en C++ y compilado con GCC.

Si bien no posee funcionalidades estadísticas como si encontramos en aplicativos crimeware más complejos, cuenta con una serie de opciones que lo hace un peligro latente. Por el momento, sus funcionalidades son:

En sistemas GNU/Linux:
  • Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay]
  • Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)]
  • Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]
Mientras que la versión para plataformas Windows cuenta con:
  • UDP Flood: [Reverse Shell]-[Host]-[Port]
  • Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay]
  • Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]
Independientemente de la plataforma, ambas poseen en común la posibilidad de:
  • Sleep: Modo “dormido”
  • Reboot remote machine: Reiniciar el equipo de forma remota
  • Shutdown remote machine: Apagar el equipo de forma remota
  • Delete bot from remote machine: Eliminar la bot de forma remota
Mediante una reciente actualización, por ahora, sólo para la versión que corre en GNU/Linux, se establece la posibilidad de generar el archivo de configuración mediante una GUI, de esta forma, el proceso es mucho más sencillo.

El archivo de configuración generado luego se compilará para crear la bot obteniendo así un nuevo crimeware a través de unos simples pasos.

Sin embargo, esto genera una contra que tiene que ver con una cuestión de optimización ya que al momento de actualizar los bots, se tendría que hacer de forma individual, lo cual es molesto para un botmaster avanzado.

El crimeware de este estilo ha generado una tendencia difícil de frenar, que marca un antes y un después en torno al control y administración de botnets que supone un mayor esfuerzo por parte de las comunidades de seguridad en la lucha contra el ciber-crimen organizado de las cuales forman parte en el estado actual de las actividades delictivas cometidas a través de Internet.

Información relacionada
TRiAD Botnet II. Administración remota de zombis...
TRiAD Botnet. Administración remota de zombis en Linux
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Especial!! ZeuS Botnet for Dummies
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Adrenalin botnet: zona de comando. El crimeware ruso marca...
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
Unique Sploits Pack. Crimeware para automatizar...

Actividades botnets
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. Jugando a cambiar la cara...
Unique Sploits Pack. Manipulando la seguridad del atacante...
Scripting attack II. Conjunción de crimeware para obtener...
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

# Jorge Mieres

Ver más