Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 14 de octubre de 2009

DDBot. Más gestión de botnets vía web

Si bien estamos acostumbrados a que el desarrollo de aplicaciones destinadas al control y administración de botnets tengan su punto de partida en Europa del Este (sobre todo en Rusia), el negocio que representan las redes zombis para muchos personajes que mueven cotidianamente sus ejes, no tiene frontera ni limitaciones.

En consecuencia, comienzan a emerger desde otros lugares del planeta diferentes alternativas cuyos ejes principales también están destinados a facilitar las maniobras delictivas de los botmasters. Ya habíamos dado cuenta de botnets, en este caso, Open Source escritas en Perl y ahora le toca el turno a DDBot (Dark Dimension Botnet).

Bajo el slogan "botmasters your dreams come true!", DDBot promete funcionalidades diferenciadoras con respecto a sus pares, y si bien tiene una manera más "elegante" de presentar la información, no cambia en cuanto a sus características y a las alternativas de ataque incorporadas en cualquier otra aplicación de este estilo.

Entre sus características, esta aplicación crimeware se compone de siete módulos que están disponibles en función del dinero que se invierta en su compra. Estos módulos son:
  • Webpanel/IRC. Es el framework que permite la gestión de las zombis y C&C a través de comando IRC. Esto permite controlar las zombis de forma convencional a través de canales IRC o utilizar cualquier navegador para acceder al Panel Web de control desde el cual también se envían comandos IRC pero a través del protocolo http. Por defecto se conecta al ircd.
  • Load & Execute. Es el modulo que permite cargar y ejecutar los binarios que se propagen a través del Panel Web.
  • Passwords Stealer. Es el modulo encargado de almacenar las contraseñas. Posse rutinas que le permiten obtener este tipo de información privada de los usuarios que hacen uso de las siguientes aplicaciones: MSN, Outlook, Filezilla, Firefox, Windows.PStore, Trillian, Icq6 y NoIp.Duk. Las rutinas son actualizadas periódicamente con lo cual se estima que se irán agregando posibilidades de obtener contraseñas de otros servicios.
  • DDos. El modulo de ataque de Denegación de Servicio Distribuida. El ataque puede ser configurado a través del Panel Web a través de comandos IRC.
  • reverseSocks. Incorpora la posibilidad de poder ejecutar todas sus funcionalidades, incluso cuando los equipos se encuentran detrás de un router o protegido con firewall.
  • SpamMail. Este módulo incorpora un SMTP que le permite a los spammers operar la botnet con este fin particular. Los correos son personalizados desde el Panel Web de forma muy sencilla.
  • Statistics. Es el modulo que permite analizar información estadística (hacer inteligencia) sobre las zombis activas, los países en los que se encuentran y demás, representando la información de una forma poco habitual.
Si bien todas las funcionalidades pretenden ofrecer un "producto" lo más automático posible, ya que no necesita demasiadas configuraciones ni demasiados conocimientos para comenzar a operarla; por ejemplo, se puede enviar spam tan solo agregando dos parámetros (básicamente receptor y mensaje), constituye una buena oferta para los script kiddies que se aventuran en la carrera de ciberdelincuentes profesionales.

En cuanto a los costos con los que DDBot se ha insertado en el mercado de crimeware, se encuentran tres paquetes cuyos precios varían según el cual se trate. El primero de los paquetes posee los módulos de ataque DDoS, Password Stealer, Load & Execute, Statistics y el Panel Web. Su valor es de 100 Euros.

La segunda opción, además de las opciones del primer paquete, incorpora el módulo reverseSocks y su valor es de 150 Euros. El tercer paquete, con un costo de 250 Euros, incorpora además el módulo que permite el envío de spam (SpamMail).

El ciclo de comercialización concluye cuando el "comprador" deposita el dinero a través de WebMoney o paysafecard.

Por otro lado, si bien no se conoce fehacientemente el origen de desarrollo de este crimeware, hay indicios que hacen suponer que también tiene su origen en Rusia.

Como verán, el comercio de crimeware no para, y seguramente durante el 2010 sigan apareciendo más alternativas que, obviamente, aumentarán su grado de complejidad a medida que las investigaciones revelen a todas luces sus funcionalidades, procesos de comercialización y detección de sus mecanismos maliciosos.

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más