PDF de programación - Malware Magazine #2

Malware Magazine

Nº 2

Índice

PRÓLOGO.......................................................................................................

TEMAS TRATADOS EN ESTA ENTREGA

I.

II.

III.

BOTNETS
1. ¿Qué es una BotNet?....................................................................
2. ¿Para qué sirven las BotNets?.......................................................
3. Tipos de clientes...........................................................................
4. ¿Cómo funcionan las BotNets?.....................................................
5. ¿Cómo montar una BotNet?.........................................................
6. BotNet por IRC...............................................................................
7. BotNet por http o panel web……………………………………………………..


INDETECTABILIDAD

1. Moddear un binario………………………………………………………………….
2. Cambiar de icono........................................................................
3. Cambiar de Version Info..............................................................
4. Quitar las firmas de un ejecutable...............................................



ANÁLISIS DE MALWARES
1. Ficheros maliciosos y Wireshark...................................................
2. La información de Cuckoo.............................................................
3. La BotNet Pony.............................................................................



IV. CREAR UN TROYANO PASO A PASO

1. Cliente........................................................................................
2. Servidor......................................................................................



AGRADECIMIENTOS Y COLABORADORES:

ANTRAX
Roda
Blackdrake
79137913
Gabriela
Agradecemos, principalmente, a todos los lectores que siguen esta revista.



underc0de.org

Malware Magazine



PRÓLOGO

Nº 2

Estimados amigos, a través de esta nueva entrega volvemos a acercarnos a ustedes con un tema de total
actualidad como lo es el de las BotNets. El malware ha evolucionado y las infecciones no se limitan al control de
un ordenador particular, sino a la creación de redes de computadores con las más diversas finalidades.

Conocer las herramientas de creación, funcionamiento y manejo son actividades que no pueden permanecer
ajenas al mundo del hacking y la seguridad informática. Son éstas las razones que nos llevan a iniciarnos en una
temática que resulta cautivante.

Por otra parte, en este transitar por el mundo del malware los objetivos son múltiples y transcienden la
divulgación del conocimiento libre. Nos proponemos un intercambio de instrucción pero al mismo tiempo de
aprendizaje consciente sobre el manejo de infecciones; las herramientas que ponemos en contacto con vosotros
se orientan a dichos fines.

En este número encontraréis, desde la noción misma de lo que es una BotNet, hasta su operatividad en diversos
entornos. Los distintas formas de montar una red de zombies y como instrumentar un tipo de indetectabilidad.

Complementamos la entrega con un ejercicio de análisis de ficheros maliciosos, correspondientes a la BotNet
Pony, y damos inicio a la guía de creación de un troyano en VB.Net.



Equipo de Underc0de

underc0de.org

Malware Magazine



Nº 2

BotNets desde cero

Autor: ANTRAX

underc0de.org

Malware Magazine

Nº 2



I. BOTNETS



1. ¿QUÉ ES UNA BOTNET?

La palabra BotNet, proviene de bot (robot) + net (red), de donde la conjunción de ambas nos anuncia el propio
concepto: red de control remota y automatizada de ordenadores. Se componen de un cliente (persona que
controla los ordenadores) y “PCs zombies”, que son los ordenadores infectados por dicha BotNet. La mayoría de
las veces, los propietarios de las computadoras afectadas por este malware no se dan cuenta de que tienen al
mismo alojado en ella. Cuando una PC se encuentra infectada pueden aparecer diversos síntomas, por ejemplo:
experimentar lentitud en las aplicaciones o tareas a realizar, el cooler de la máquina se acelera aun cuando no la
estamos utilizando, inestabilidades en la conexión, etcétera. Estas anomalías se explican -justamente- porque el
dueño de la red zombie, se encuentra enviando órdenes a los equipos que tiene bajo su poder.



underc0de.org

Malware Magazine

Nº 2



2. ¿PARA QUÉ SIRVEN LAS BOTNETS?

Las BotNets son utilizadas para hacer spam, básicamente con la finalidad de obtener información financiera y
poder sacar provecho o algún determinado beneficio. Al tener buena propagación, se infectan miles de
ordenadores en busca de cuentas bancarias, tarjetas de crédito, y otros accesos de interés.

Otro uso frecuente que se les suele dar, es el de facilitar el abuso de la publicidad con los servicios del tipo que
nos brinda Adsense, Kontextua, entre otras empresas. De esta forma, se puede obtener mayor cantidad de visitas
o clicks gracias a los zombies que se encuentran en la red y, en definitiva, ganar bastante dinero.

También son muy usadas para ataques de DDoS (denegación de servicio distribuido) cuya finalidad es tirar
websites, foros, y pueden llegar a causar daños en la base de datos o consumir el ancho de banda del host para
que deje de funcionar.



underc0de.org

Malware Magazine



Nº 2

Por otra parte, tienen otros usos que aunque no son tan difundidos, es oportuno mencionarlos:

 Construir servidores para alojar software warez, cracks, seriales, etc.
 Construir servidores web para alojar material pornográfico y/o pedófilo.
 Construir servidores web para ataques de phishing.
 Montar redes privadas de intercambio de material ilegal.
 Sniffing de tráfico web para robo de datos confidenciales.
 Distribución e instalación de nuevo malware.
 Manipulación de juegos online.
 Minería y robo de bitcoins.



3. TIPOS DE CLIENTES



Hay varias formas de manipular una BotNet, entre los cuales podemos destacar los siguientes:

IRC


 Web Panel
 Clientes de escritorio



En el IRC, lo que hacemos es que todos nuestros zombies conecten a un mismo canal de IRC y esperen órdenes
por comandos.



underc0de.org



Malware Magazine



Nº 2

De forma muy similar sucede con el Web Panel; los zombies conectan a una misma IP, en donde tendremos un
panel y desde éste podremos introducir comandos o clickear las acciones que traiga dicha BotNet.



Por último, tenemos las BotNets con Clientes de escritorio y éste es similar a un troyano con su Cliente - Servidor.
Los zombies conectan a una DNS y desde nuestro cliente podremos darles órdenes.



underc0de.org



Malware Magazine



4. ¿CÓMO FUNCIONAN LAS BOTNETS?



Nº 2

Al igual que los troyanos, las BotNets están compuestas por un cliente-servidor. Se propagan rápidamente por
internet de forma masiva y pueden provocar una infección en cadena. Esto quiere decir que si yo infecto a un
contacto mío, éste infectará a los suyos, y a su vez éste a los suyos; y así sucesivamente, hasta formar una gran
cadena de infección…



Seguramente, más de una vez habrán visto en Facebook publicaciones que suelen llamar la atención como las
siguientes:



underc0de.org

Malware Magazine

Nº 2



En los dos casos precedentes, se muestran videos que pueden ser tentadores, pero en realidad se trata de un
gusano que se propaga por Facebook. En consecuencia, si alguna vez entraron, lo más probable es que se hayan
infectado…


Otro tipo de infección es por URL y sucede cuando al entrar a un sitio web, éste muestra una especie de
advertencia que al aceptarla, estamos dando paso a una BotNet. La advertencia suele verse de la siguiente forma:



En este caso, simula ser una actualización de Flash Player, pero en realidad es un malware que intenta meterse en
nuestro sistema.



underc0de.org

Malware Magazine



5. ¿CÓMO MONTAR UNA BOTNET?



Nº 2

Antes hemos mencionado los 3 tipos de BotNets (IRC, HTTP, Cliente de escritorio); en los tres casos podemos
señalar que los zombies deben apuntar al mismo sitio. Esto es, en el caso del IRC, apuntarlos a un canal registrado
en algún servidor; si es por HTTP, apuntarlos a un host; y si es por ejecutable, apuntarlos a alguna DNS. En
cualquiera de las hipótesis corremos riesgos de perder todos los remotos, ya que puede ser denunciada y la dan
de baja. Lo que se recomienda, es tener un server propio en casa montado en nuestra PC para que los remotos
lleguen ahí; obviamente, teniendo precauciones para mantenerlo anónimo. Otra alternativa viable, es montarlo
en un servidor de algún país en el que no haya leyes que prohíban su manejo.



6. BOTNET POR IRC



Para montar una por IRC necesitaremos IRCPlus, lo instalamos y nos vamos a su pantalla principal de
configuración:



Colocamos un nombre en el Server y una descripción.

Nota: Es importante aclarar que el puerto que pongamos (en mi caso el 2000), debe estar abierto en
nuestro router en caso de que tengamos. En caso de tener router y no tenerlo abierto, lo abrimos de la
misma forma que cuando usamos un troyano.



underc0de.org

Malware Magazine



El resto de las opciones son a su gusto, como por ejemplo, la de los canales:

Nº 2



Importantísimo lo que está remarcado en rojo, ya que de esta forma podrán entrar todos los zombies a nuestro
canal sin ningún tipo de restricción.

También es bueno crear un user admin para controlar el canal y el servidor.

Registramos el Nick:

underc0de.org

Malware Magazine

Nº 2



Y luego nos dirigimos a Operators:

Como pueden ver, ahí