Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 17 de agosto de 2009

Desarrollo de crimeware Open Source para controlar y administrar botnets

El desarrollo de aplicativos web orientados al control y administración de botnets a través del protocolo http, se encuentra en un nivel muy avanzado por parte de la comunidad underground de Europa del Este, y en particular desde Rusia, donde ciber-delincuentes inundan constantemente el mercado clandestino de crimeware comercializando paquetes como Eleonore, ZeuS, ElFiesta, Adrenaline, entre muchos otros.

Sin embargo, este modelo de negocio que ya se encuentra implantado, se expande hacia otros territorios donde la ambición de ciber-delincuentes se ve espejada por esta tendencia difícil de frenar, pero con otras filosofías: Crimeware Open Source. Es decir, desarrollo de programas de código abierto diseñados para ser utilizados con fines delictivos a través de Internet.

En este caso, se trata de una familia de crimeware diseñados para el control y administración de redes zombis.

Se trata de una serie de proyectos que buscan, como dice el autor (cuyo nick es “cross”), dejar claro que el desarrollo de botnets en Perl es posible. Bajo el slogan “x1Machine Remote Administration System” pone a disposición del ciber-crimen organizado dos proyectos orientados al manipuleo de botnets llamados Hybrid y TRiAD.

Hybrid Project
El proyecto “Híbrido” es el más ambicioso. Se encuentra escrito en Perl, funciona sólo en plataformas GNU/Linux y permite, como es común en la mayoría del crimeware actual de este estilo, administrar botnets por http. Si bien su autor manifiesta que no fue concebido con fines maliciosos, la leyenda que se encuentra en la interfaz de la versión 1 (la imagen que a continuación se muestra) dice BotNet Control System, lo cual es contradictorio.

La configuración se realiza por intermedio de un pequeño panel al cual se accede a través del archivo HyGen.pl.

La versión 2 (siguiente captura) mantiene las mismas características que su antecesor. Por el momento, se encuentra en estado de “Prueba de concepto” (PoC). Sin embargo, puede ser manipulado por cualquier ciber-delincuente para hacerlo completamente funcional y agregar más componentes para abusar de los zombis.

Un detalle interesante es que su interfaz se encuentra basada en BlackEnergy, una de las primeras botnet basadas en administración vía http diseñada para realizar ataques DDoS (Denegación de Servicio Distribuida).



TRiAD Project
Sobre este crimeware ya hemos hablado. Se trata de un proyecto paralelo cuya primera versión (siguiente captura) está diseñada, al igual que el proyecto Hybrid, para operar bajo entornos GNU/Linux.

Esta primera versión nació a principios de 2009 y ya cuenta con tres versiones que incorporan algunas funcionalidades más. Se encuentra escrito en C y a través de ella se pueden llevar a cabo tres actividades dañinas: ejecución de ataques de Denegación de Servicio Distribuida (DDoS), BindShell (ejecución de una shell y apertura de puertos) y ReverseShell (aviso de conexión de una zombi).

TRiAD HTTP Control System v2 es la segunda versión del proyecto que evolucionó para convertirse en un crimeware multiplataforma que puede ser implementado en sistemas Windows y GNU/Linux.

Esta versión, además de contar con las funcionalidades presentes en la versión 1, posee nuevas características: eliminación de la bot, apagar y reinicio del equipo de forma remota. La siguiente captura corresponde a la página de descarga.

Al igual que la segunda versión, TRiAD http Control System v3 se encuentra escrito en C, compilado con GCC y es corre bajo Windows y GNU/Linux. Sus características son:

En sistemas GNU/Linux:
  • Syn Flood con source IP spoofing: [SynStorm]-[Host]-[Port]-[Nr of Packets]-[Delay]
  • Small HTTP Server: [HTTP Server]-[Port]-[Time(minutes)]
  • Bind Shell: [Bind Shell]-[Port]-[Allowed IP Address]
Mientras que la versión para plataformas Windows cuenta con:
  • UDP Flood: [Reverse Shell]-[Host]-[Port]
  • Small Proxy Server: [UdpStorm]-[Target IP]-[Target Port]-[Nr of Packets]-[Delay]
  • Reverse Shell: [Proxy Server]-[Port]-[Time(minutes)]
Independientemente de la plataforma, ambas poseen en común la posibilidad de:
  • Sleep: Modo “dormido”
  • Reboot remote machine: Reiniciar el equipo de forma remota
  • Shutdown remote machine: Apagar el equipo de forma remota
  • Delete bot from remote machine: Eliminar la bot de forma remota

Evidentemente, esta situación supone una serie de aspectos agravantes que hacen de este tipo de “iniciativas” fuentes ideales tanto para script kiddies aspirantes a ciber-delincuentes por su condición de gratuito, como para desarrolladores profesionales que pueden personalizar su código para agregar funcionalidades que se adapten a las necesidades de cada comprador (por lo general, botmasters) en función de la plataforma que se desea explotar.

Información relacionada
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

# Jorge Mieres

Ver más