Ma1ware Magazne #2

Pgina 1


M-21uL 111
Ma1ware Magazne #2

1ema: 8otnets y 8edes 2ombes



^u18^x
antrax.1abs jat gma1 jdot com
www.antrax-1abs.net
Ma1ware Magazne #2

Pgina 2



gue es una 8otnet
la pa1abra 8otnet, provene de 8ot {robot). Lstan compuestos
por un c1ente y zombes", los zombes son 1os ordenadores
n1ectados por dcha botnet, y e1 c1ente es e1 que
ut1zaremos para dar1es ordenes por medo de comandos.
1ipos de Clientes
uay varas 1ormas de manpu1ar una botnet, entre 1os cua1es
podemos resa1tar 1os sguentes:
- 18C
- Web ane1
- C1entes en a1gun 1enguae de programacon.
Ln e1 18C, 1o que hacemos es que todos nuestros zombes
conecten a un msmo cana1 de 18C y esperen ordenes por
comandos.





Ma1ware Magazne #2

Pgina 3


0e 1orma muy sm1ar pasa con e1 Web ane1, 1os zombes
conectan a una msma p, en donde tendremos un pane1 en e1
cua1 podremos ntroducr comandos.

Cuando dgo C1entes en a1gun 1enguae de programacon, hago
re1erenca a que es sm1ar a un troyano, con su C1ente-
Servdor. los zombes conectan a una 0uS y desde nuestro
c1ente podremos dar1es ordenes.

Ma1ware Magazne #2

Pgina 4


Como iuncionan
^1 gua1 que 1os troyanos, 1as botnets estan compuestas por
un c1ente-servdor.
Se propagan rapdamente por nternet y tenen dstntos
tpos de Spreads. Lntre e11os podemos destacar e1 muy conocdo
spread por msn que seguramente mas de una vez 1o hemos vsto.

lo que produce sempre es una n1eccon en cadena. Lsto quere
decr que s yo n1ecto a un contacto mo, este n1ectara a
1os suyos, y a su vez este a 1os suyos y as sucesvamente
hasta 1ormar una gran cadena de n1eccon.


Ma1ware Magazne #2

Pgina 5


ara que Sirven las 8otnets
las botnets son ut1zadas para hacer Spam con 1a 1na1dad de
obtener n1ormacon 1nancera para poder sacar1e provecho. ^1
tener buena propagacon, se n1ectan m1es de ordenadores en
busca de cuentas bancaras, taretas de credto, y otros
1ogns de nteres.
0tro uso que se 1e sue1e dar es e1 de abuso de pub1cdad con
e1 servco que nos brnda adsense. 0e esta 1orma se puede
obtener mayor cantdad de vstas gracas a 1os zombes que
tengamos en nuestra botnet y de esta 1orma ganar bastante
dnero.
1amben es muy ut1zada para ataques de 00oS {0enegacon de
servco dstrbudo) que srve para trar webstes, 1oros y
puede 11egar a causar daos en 1a base de datos o consumr e1
ancho de banda para que dee de 1unconar.
0tros usos que se 1es puede dar, que aunque no son muy vstos,
es bueno menconar1os:
- Construr servdores para a1oar so1tware warez, cracks,
sera1es, etc
- Construr servdores web para a1oar matera1 pornogra1co y
pedo11co
- Construr servdores web para ataques de phshng
- 8edes prvadas de ntercambo de matera1 1ega1
- Sn11ng de tra1co web para robo de datos con1denca1es
- 0strbucon e nsta1acon de nuevo ma1ware
- Manpu1acon de uegos on1ne

Como montar una botnet
S ben mencone antes 1os 2 tpos de botnets, ya sea por 18C,
u11, o un eecutab1e programado en a1gun 1enguae. Ln 1os
tres casos vemos que 1os zombes deben apuntar a1 msmo sto.
Ln e1 caso de1 18C, apuntar1o a un cana1 regstrado en a1gun
servdor. S es por u11, apuntar1o a un host y s es por
eecutab1e, apuntar1o a a1gun subdomno {0uS). Ln todos 1os
casos corremos resgos de perder todos 1os remotos, ya que
Ma1ware Magazne #2

Pgina


puede ser denuncada. lo que yo recomendo, es tener un server
propo en casa montado en nuestra C, para que 1os remotos
11eguen ah.
lo que debemos hacer es tener una buena C con buena conexon
para que soporte todos 1os remotos. una vez que 1a tenemos,
podemos crear un servdor de 18C y mandar a todos 1os zombes
ah. 0e esta manera no se perderan con 1ac1dad todos 1os
remotos que tengamos.
^hora 1es enseare a como montar un servdor de 18C en nuestra
propa C.
0escargamos e1 18C1us, lo nsta1amos y nos vamos a su
panta11a prncpa1 de con1guracon:

Co1ocamos un nombre en e1 Server y una descrpcon.
Ls mportante ac1arar que e1 puerto que pongamos, en m caso
e1 2000, debe estar aberto en nuestro router en caso de que
tengamos. Ln caso de tener router y no tener1o aberto, 1o
abrmos de 1a msma 1orma que cuando usamos un troyano.
L1 resto de 1as opcones son a su gusto, como por eemp1o 1a
de 1os cana1es:
Ma1ware Magazne #2

Pgina 7



1mportantsmo 1o que esta remarcado en roo, ya que de esta
1orma podran entrar todos 1os zombes a nuestro cana1 sn
nngun tpo de restrccon.
1amben es bueno crear un user admn para contro1ar e1 cana1 y
e1 servdor.
8egstramos e1 uck:



Ma1ware Magazne #2

Pgina 8


Y 1uego vamos a 0perators

Como pueden ver, ah m user esta como 0perador de1 18C.
^hora vamos a nuestro c1ente de rc

Co1ocamos ,server u0-1" o 1
Ln m caso co1oque m no-p de test
Ma1ware Magazne #2

Pgina 9



^h nos da una benvenda.
1dent1co m user de 1a sguente manera
,pass assword"
Lemp1o: ,pass 1224S

Ma1ware Magazne #2
Pgina
10



Y por u1tmo entramos a1 cana1:


8ueno, ah entraran nuestros zombes y podremos manpu1ar1os
por comandos de1ndos prevamente en 1a botnet.
Ma1ware Magazne #2
Pgina
11


^ca 1es pongo una captura de eemp1o de como se ve una botnet
por 18C. Cuando entran zombes

Como ven e1 prmero de todo es e1 0perador de1 cana1, quen
manpu1ara 1a botnet, y e1 resto son 1os zombes.
0e esta 1orma, no podran darnos de baa e1 cana1 ya que e1
servdor 1o tendremos montado en nuestra propa C.

Lspero que 1es haya gustado.
uasta 1a proxma entrega

AN1kAx