Escuela Técnica Superior de Ingeniería InformáticaIngeniería Técnica en Informática de Sistemas
Bot y Botnets: Análisis de estructura y funcionamiento de las redes de
ordenadores comprometidos
Realizado porRealizado porAdrián Belmonte MartínAdrián Belmonte Martín
Dirigido porDirigido porSergio Pozo HidalgoSergio Pozo Hidalgo
DepartamentoDepartamentoLenguajes y Sistemas InformáticosLenguajes y Sistemas Informáticos
Sevilla, Marzo de 2007Sevilla, Marzo de 2007
Índice
• Introducción
• Estructura
• Funcionamiento• Conclusiones
Introducción
DefinicionesBot: Programas sirvientes que realizan determinadas
acciones a base de comandos emitidos desde un controlador. El tipo de bot que estudiaremos es el denominado bot C&C (Command and Control)
Botnet: Red de equipos comprometidos (bots) controlados desde un equipo central, empleando diversos protocolos
Bot herder o bot master: Es el “dueño” de la red de bots
Introducción(2)
Objetivos• Dar a conocer este tipo de redes
– Estructura– Características– Funcionamiento
• Análisis de los distintos tipos de programas– Clasificación de las distintas familias
– Funcionalidades– Usos y explotación
Introducción (3)
Justificación• Poca información disponible• Necesario conocer y estudiar de que manera afectan estos
programas a 3 grandes grupos:• Usuarios domésticos
• Empresas• Internet
• Vital determinar y difundir los peligros de estas redes para concienciar a usuarios y administradores
Estructura y funcionamiento
Introducción(4)
CifrasPrimeros 6 meses del 2006• 250.000 Ordenadores infectados por día• 330.000 en un mes en España• 57.000 bots activos diariamente• 4.7 millones de ordenadores fueron usados alguna vez en redes bot• Botnets de hasta 50.000 sistemas comprometidos
¡ Solo en redes detectadas!
Estructura
Diferentes topologías C&C:
• Centralizada
• Punto a punto (p2p)
• Aleatoria
Estructura (2)Bot C&C IRC
• Arquitectura centralizada• 3 partes básicas
Ventajas:– Protocolo conocido– Baja latencia– Facilidad en el diseño
Inconvenientes– Fácil detección– Dependencia del sistema
central
USO DE DNS DINÁMICOS Y SERVIDORES IRC
PRIVADOS
Estructura (3)
1988: Gusano Morris
1999-2000:Melissa /I Love you
2001: Core Red
2003-2004:Blaster/Sasser
• Bot IRC:
• Gusanos
1993: Eggdrop
Funcionamiento
Fases de un ataque
•Exploración•Acceso•Consolidación•Explotación
Funcionamiento(2)Bot Master crea el archivo infectado con el programa
Interfaz gráfica (GUI)
Archivos de cabecera o en el mismo código
char botid[] = "rx01";// bot idchar version[] = "[rxBot v0.6.6 b]";// Bots !version replychar password[] = "changeme"; // bot passwordchar server[] = "irc.rizon.net";// serverchar serverpass[] = "";// server passwordchar channel[] = "#rxbot";// channel that the bot should joinchar chanpass[] = "";// channel passwordchar server2[] = "";// backup server (optional)char channel2[] = "";// backup channel (optional)char chanpass2[] = "";// backup channel password (optional)char filename[] = "wuamgrd.exe";// destination file namechar keylogfile[] = "keys.txt";// keylog filenamechar valuename[] = "Microsoft Update";// value name for autostartchar nickconst[] = "[RX]|";// first part to the bot's nickchar modeonconn[] = "-x+B";// Can be more than one mode and -char chanmode[] = "+n+t";// Channel mode after joiningchar exploitchan[] = "";// Channel where exploit messages get redirectedchar keylogchan[] = "";// Channel where keylog messages get redirectedchar psniffchan[] = "";// Channel where psniff messages get redirected
char *authost[] = {"*@*.net","*@*.com"
};
Fases de un ataque
Exploración y acceso: Bot semilla
Distribución vía: Spam, P2p, Vulnerabilidades, IRC
Exploración y acceso
.advscan <módulo> <nºhilos><retraso><opciones>
!scan <dirección ip> <nº hilos> <retraso> <tipo>
.advscan lsass 100 5 999 -r
Servidor IRC
Exploración y acceso (2)
Explotación • Equipos con vulnerabilidades sin parchear (Dcom, Lsass…)
•Equipos Previamente infectados por gusanos
• Netbios sin contraseña o contraseñas débiles
Exploración y acceso(3)
Exploración y acceso (4)
Consolidación
• Uso de módulos para asegurarse la ejecución en el equipo infectado– Registro– System.ini
• Módulos contra Antivirus, Firewalls y programas de virtualización• Módulos que evitan conexiones hacia las direcciones de proveedores de
actualizaciones y programas de seguridad• Instalación de Rootkits
Explotación del sistema
• DDoS
• Spam
• Phising
• Sniffing-Keylogging: Robo de información sensible
• Fraude por clic
• Instalación de servidores con contenido ilegal
Firewalls, antivirus, Bloquea acceso a páginas de compañías de seguridad y actualizaciones. Elimina procesos en Linux
RedireccionHttp FtpSmtpSock4Sock5
SYNFloodHTTPFloodICMPFloodUDPFloodTarga3FloodWonkFlood
RegistroNetbios KuangSub7LssasDcomDamewareMssqqlBagleMyDoomSasserUpnp
GUIPhatbotAgobot
Firewalls, antivirus, Bloquea acceso a páginas de compañías de seguridad y actualizaciones
RedireccionSock4HttpFtp
SYNFloodTCPFloodICMPFLood
RegistroNetbios KuangSub7LssasDcomDamewareMssqqlBagleMyDoomSasserUpnp
Configuración en archivo de cabecera externo
Rbot
Firewalls y antivirus
Http serverRedirección
SYNFloodSystem.iniNetBiosKuangSub7Kazaa
Configuración en archivo de cabecera externo
SpyBot
NORedirecciónNORegistroNOConfiguración en el mismo fichero
SDbot
Procesos y servicios de antivirus y firewalls
Sock (plugin)NORegistroNetBiosConfiguración en archivo de cabecera externo
Omega Project II
NoProxyRedirección puertosHttp(plugin)
UDP (Plugin)TCP(Plugin)
RegistroNOGUIData Spy Network
Ciertos AntivirusNOSYNFloodRegistroSI(?)Configuración en el mismo programa
Leechbot VB
NONOFloodRegistroNOGUIG-Spot
NONONORegistroNOArchivo por lotes
Microbot
ProtecciónProxies/ServidoresDDOSInstalación en el sistema
SpreadersConfiguraciónBot
Firewalls, antivirus, Bloquea acceso a páginas de compañías de seguridad y actualizaciones. Elimina procesos en Linux
RedireccionHttp FtpSmtpSock4Sock5
SYNFloodHTTPFloodICMPFloodUDPFloodTarga3FloodWonkFlood
RegistroNetbios KuangSub7LssasDcomDamewareMssqqlBagleMyDoomSasserUpnp
GUIPhatbotAgobot
Firewalls, antivirus, Bloquea acceso a páginas de compañías de seguridad y actualizaciones
RedireccionSock4HttpFtp
SYNFloodTCPFloodICMPFLood
RegistroNetbios KuangSub7LssasDcomDamewareMssqqlBagleMyDoomSasserUpnp
Configuración en archivo de cabecera externo
Rbot
Firewalls y antivirus
Http serverRedirección
SYNFloodSystem.iniNetBiosKuangSub7Kazaa
Configuración en archivo de cabecera externo
SpyBot
NORedirecciónNORegistroNOConfiguración en el mismo fichero
SDbot
Procesos y servicios de antivirus y firewalls
Sock (plugin)NORegistroNetBiosConfiguración en archivo de cabecera externo
Omega Project II
NoProxyRedirección puertosHttp(plugin)
UDP (Plugin)TCP(Plugin)
RegistroNOGUIData Spy Network
Ciertos AntivirusNOSYNFloodRegistroSI(?)Configuración en el mismo programa
Leechbot VB
NONOFloodRegistroNOGUIG-Spot
NONONORegistroNOArchivo por lotes
Microbot
ProtecciónProxies/ServidoresDDOSInstalación en el sistema
SpreadersConfiguraciónBot
Comparativa entre los distintos bots estudiados
Conclusiones• Aumento del comercio electrónico y aparición de beneficios económicos:
Cambio de mentalidad en los atacantes: – 40.000 Euros por una vulnerabilidad en Windows Vista– 15.000 Euros otros sistemas– Código fuente que permita construir un botnet: 5.000-20.000– Números de tarjetas de crédito y PIN: 400 Euros– Cuentas PayPal: 5 euros
• Desconocimiento generalizado sobre el tema siendo el arma más polivalente de los autores de crímenes cibernéticos.
• Mejoras tecnológicas en los programas bot: – Cifrado de las comunicaciones– Uso de protocolos alternativos – Topologías más difícilmente detectables– Uso de programas de empaquetamiento– Ataques a pequeña escala
• Problemas en la detección de los creadores y en los programas por parte de antivirus
• Equipos de respuesta y programas de detección insuficientes
Preguntas
Escuela Técnica Superior de Ingeniería InformáticaIngeniería Técnica en Informática de Sistemas
Bot y Botnets: Análisis de estructura y funcionamiento de las redes de
ordenadores comprometidos
Realizado porRealizado porAdrián Belmonte MartínAdrián Belmonte Martín
Dirigido porDirigido porSergio Pozo HidalgoSergio Pozo Hidalgo
DepartamentoDepartamentoLenguajes y Sistemas InformáticosLenguajes y Sistemas Informáticos
Sevilla, Marzo de 2007Sevilla, Marzo de 2007
Top Related