Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 25 de julio de 2009

TRiAD Botnet. Administración remota de zombis en Linux

La posibilidad de administrar botnets a través del protocolo http parecería ser un requisito fundamental para los desarrolladores de estos aplicativos web que colaboran activamente con el crimeware actual.

En este sentido, otra de las alternativas se llama TRiAD BotNet Control System, un sistema de control remoto para plataformas Linux. Si bien este aplicativo web posee un tiempo de vida todavía prematuro (su primer lanzamiento data del 18 de febrero de 2009), ya se encuentran disponibles tres versiones que poseen entre sí algunas diferencias interesantes.

Pero haciendo un paréntesis por el momento sobre los aspectos técnicos que posee TRiAD BotNet, uno de los factores más llamativos que particularmente presenta esta aplicación (y en general las de su estilo) esta constituido por lo vistoso del diseño, donde el pensamiento que se esconde detrás de ello parecería ser el de marcar “el estilo” del autor.

Incluso, el mismo criterio parece estar presente también en aplicativos crimeware más complejos, en términos de funcionalidades y opciones propuestas, que el mencionado. Caso ZeuS por ejemplo.

Por otro lado, otra característica que se percibe en el desarrollo actual de crimeware de este estilo es el mayor énfasis en optimizar los procesos involucrados en la implementación de las botnets, el control de los zombis y su administración. Donde, sin perder esa primera característica planteada (el diseño) que hace del aplicativo más “amigable”, también presenta sencillez junto a un estilo minimalista.

Sin embargo, sea como sea en términos de diseño, en cuanto al tipo de funcionalidades que presenten o el costo de su adquisición; las botnets y el ejército de computadoras zombis que el botmaster tenga bajo su mando constituyen un potencial peligro y un centro de ataque vía web difícil de frenar en estos tiempos.

En este caso, se trata de la primera versión de una familia de aplicativos web, TRiAD BotNet (escritos en C), diseñados como sistemas de control de botnets que posee un hermano mayor llamado Hybrid, con la particularidad de estar diseñados para controlar zombis en distribuciones Linux.

Aunque esta versión de TRiAD corre solamente en plataformas Linux, sus posteriores versiones son multiplataformas (Linux y Windows). Permite ejecutar sólo tres de las funciones básicas de administración de cualquier botnet: ejecución de ataques DDoS, ejecución de una shell y apertura de puertos (BindShell), y aviso de conexión de una zombi (ReverseShell).

Desde el punto de vista estructural, el módulo de ataque de Denegación de Servicio Distribuida se concentra en un archivo llamado dos.php cuya información se guarda en el archivo dos.txt.


if ($action){
$file = fopen("dos.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100);echo "Command:
$line
";
fclose($file);

En lo que respecta a la BindShell, a través de sólo seis comandos se establece lo necesario para ejecutar una shell y dejar una puerta abierta disponible para el botmaster. Estos comandos se visualizan en la captura que representa el módulo en cuestión, que toma la información desde el archivo cmd.php reflejando el resultado en cmd.txt.


if ($action){
$file = fopen("cmd.txt","w+"); fwrite($file,$cmd); fseek($file,0); $line = fread($file,100); echo "Command:
$line
";
0 fclose($file);

El módulo ReverseShell informa cada vez que una zombi es reclutada y cada vez que establece conexión a Internet. Esta información es almacenada en una pequeña tabla que muestra cantidad de zombis activos, dirección IP del host objeto de ataque y el comando ejecutado.


$machines = new Online(); if ($machines->count() == 1) {
echo "--> " . $machines->count() . " bot ";
} else {

echo "--> " . $machines->count() . " bots ";
}

$ddos = fopen("dos.txt","r"); $line = fread($ddos,100);
echo "
$line
";
fclose($ddos);

$plik = fopen("cmd.txt","r"); $linia = fread($plik,100);
echo "
$linia
";
fclose($plik);

Las botnets constituyen un grave problema para la seguridad de cualquier entorno de información conectado a Internet, y el desarrollo de aplicativos crimeware es cada vez más alto. Incluso, como en este caso donde el código fuente es libre, existe un agravante: cualquier persona con los conocimientos necesarios pueda manipular el código y adaptar/agregar funcionalidad a la botnet.

Aún así, aunque el desarrollo de crimeware no represente un negocio para el creador de estos aplicativos, no deja de colaborar en una industria con objetivos maliciosos ampliando el abanico de alternativas destinadas a engrosas otros negocios relacionados.

Información relacionada
Especial!! ZeuS Botnet for Dummies
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Mirando de cerca la estructura de Unique Sploits Pack
Adrenalin botnet. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
Unique Sploits Pack. Crimeware para automatizar la explotación...

# pistus

Ver más