comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Cazador de Botnets: [Zeus]

  • 14 Respuestas
  • 6898 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email
« en: Julio 09, 2015, 08:21:45 pm »

By [Q]3rV[0]

Quien no fantaseo alguna vez con tener miles y miles de ordenadores bajo su poder?, no me refiero con el objetivo de desatar un caos o incluso robar masivamente información, sino para simplemente, tener el profundo sentimiento de "control". O hablando desde el otro "lado" a quien no se le ocurrio la idea de desbaratar botnets alguna vez?, cazarlas por el simple echo de ver que ahí adentro, descubrir el numero de  maquinas que cayeron bajo su poder? y quizá hasta tomar el control?. Bueno, este post va dedicado a esta ultima fantasía.

Como encontramos una botnet?

Vamos a lo primero, para cazar una botnet hay que localizarla, existen diversos servicios online que se dedican al traceo de estas, en los que se publican el path del C&C, información de los ejecutables usados para la infección, el tipo de botnet, etc.


Cybercrime-tracker


La cual mantiene archivado una gran diversidad de malware como la botnet Blackhole, Citadel, Zeus, Pony, IceIX, VertexNet entre otras.


Abuse.ch

Otra de gran utilidad es abuse.ch contando con un tracker para la Zeus, Feodo, Palevo y la SpyEye.


Posiblemente existan otras listas de botnets, pero por el momento son las unicas que conozco.

También podemos hacer uso de algún motor de búsqueda como google. Implementando uno que otro google dork llevándonos por las estructura del panel que deseemos localizar, por ejemplo, la ruta del C&C por defecto en la botnet Zeus es el siguiente: /cp.php?m=login.

Código: Text
  1. inurl:/cp.php?m=login

De ahí en mas podríamos ir variando, ya que probablemente el responsable haya echo algunas modificaciones al script, incluso cambiado el nombre, en fin todo va en el ensayo y error. Tal vez nos topemos con alguna que otra semi camuflada.

Código: Text
  1. inurl:/adm.php?m=login

Código: Text
  1. intext:"Remember (MD5 cookies)" ext:php



Hosting1

Partamos por el punto de que una botnet puede estar montada en un:

-Servicio de hosting free
-Servicio de hosting pago
-Hosting hacked
-VPS

En mi caso se hallaba alojada en lo que parecía ser un servicio de hosting pago, llamémoslo hosting1.com.


A simple vista me atrevía a decir que el encargado del malware obtuvo acceso ilícito, por lo que lo mas seguro es que la web presentara alguna que otra vulnerabilidad que me permitiese la entrada, si es que no fue parcheada por el atacante, para alejar a los curiosos.

Realmente aun quedaba alguna que otra brecha.


Fijémonos haber que hay detrás del panel.



Un upload bastante jodido y otra SQLI. Luego de realizar varios intentos decidí dejar de lado la subida de ficheros, pero si podía inyectar comandos en la db, solo tenia que buscar la tabla con las credenciales de la botnet.


Por desgracia no había rastros de la Zeus.


Lo mas probable es que corra con un usuario diferente.


Después de navegar por la aplicación, me encontré con la zona de acceso a clientes.


Evidentemente trabajaba con otro user ya que las credenciales del formulario no estaban en la anterior base de datos. Así que me registre para ponerme en busca de alguna inyección u otra abertura que me de acceso.
Al rato termine por darme por vencido y decidí ir por otra via, enumerar los dominios en el servidor, tratar de acceder mediante alguno de ellos y así escalar hasta hosting1.com.



Evilnet

El proveedor de hosting, llamémoslo "Evilnet", por motivos obvios no voy a dar nombres. Evilnet ofrece servicio de hosting, diseño y programación web, varios dominios que pertenecen a Evilnet, usan la misma estructura de CMS, el mismo con el que corre nuestro hosting1.com  por  acá tenemos otro similar y por supuesto junto con la misma SQLI :)


Si no leíste el articulo "Engañando al WAF con XMP" podes ingresar al siguiente No tienes permisos para ver links. Registrate o Entra con tu cuenta donde detallo como conseguí acceso al servidor mediante hosting2.com.

Siguiendo con el apartado cabe destacar algo interesante que me encontré mediante la recolección de información:

    -Ambas webs usan el mismo password en el formulario de administración.

    -Ambas webs cuentan con el mismo password en la base de datos (el mismo que usan para acceder al panel, no es joda!).


Parece que el administrador de Evilnet no tiene buena memoria y prefiere usar la misma llave para todo, podría apostar que este "descuido" por llamarlo de manera elegante, se repite en los demás dominios bajo su autoría. Con este criterio quien sabe, si llegara a probar, hasta me podría cargar el facebook y el twitter del admin o hasta la sesión ssh personal, espero no llegarle hasta abajo de la cama jeje!.

Pero en fin ya estaba dentro de hosting2.com, solo me faltaba escalar hasta hosting1.com, lo primero que hice fue tratar de leer el fichero de configuración de la botnet que se encuentra en el directorio base /system/config.php, mediante la creación de un enlace simbólico, pero para mi mala suerte no funciono. Entonces recordé el descuido del administrador e intente ingresar con la llave maestra por así decirlo, mediante otro usuario en la db que pertenezca a hosting1.com, por lo que veía, la estrutura de nombres tiene la siguiente regla:

"Nombre que hace referencia al dominio"_XXXXXXX

ya había intentado loguearme como hosting1_xxxxxxx, entonces fui probando diversas combinaciones de usuarios.

Hasta que logre ingresar como hosting1 solamente, el cual tenia acceso a todas las dbs dentro de la aplicación.


Ya habiendo identificado la preciada base de datos.


Restaba consultar las credenciales en la tabla cp_users y rogar obtener el hash md5 en claro.


Afortunadamente el hashe del admin estaba presente en md5online.




La Zeus

Una vez dentro termine un poco decepcionado al respecto, creí que podía encontrarme con una mayor cantidad de bots, y para peor no había uno solo en pie.


Aunque contaba con una respetable cantidad de reportes sobre credenciales pop3 y http.


Una cosa interesante, es que el reports path de la botnet apuntaba al home de hosting1.


Por lo tanto podía navegar libremente a través del file browser y descargar ficheros a diestra y siniestra.


De no haber sido así, solo tenia que ir a options y editar el path con tantos directorios transversales sean necesarios para llegar al home.




Fuente: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Web: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Twitter: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado D3ivid

  • *
  • Underc0der
  • Mensajes: 288
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
  • Twitter: @deividventas
« Respuesta #1 en: Julio 09, 2015, 08:37:08 pm »
Vaya aporte  @No tienes permisos para ver links. Registrate o Entra con tu cuenta genial, muchas gracias

Desconectado B3N

  • *
  • Underc0der
  • Mensajes: 36
  • Actividad:
    0%
  • Reputación 0
  • 00111011 00101001
    • Ver Perfil
    • Email
« Respuesta #2 en: Julio 09, 2015, 09:42:08 pm »
Muy bueno, gracias por compartirlo
01010111 01100001 01101011 01100101 00100000 01110101
01110000 00100000 01001110 01100101 01101111

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 873
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
    • Email
« Respuesta #3 en: Julio 09, 2015, 09:55:46 pm »


@No tienes permisos para ver links. Registrate o Entra con tu cuenta

No solo es interesante el aporte, sino que el detalle, las capturas, y las descripciones  permiten reconstruir todos los procesos que seguiste.
Gracias.

+1

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1913
  • Actividad:
    5%
  • Reputación 15
    • Ver Perfil
« Respuesta #4 en: Julio 10, 2015, 06:36:20 am »
Muy buen aporte, claro y bien explicado.

Gran trabajo @No tienes permisos para ver links. Registrate o Entra con tu cuenta



Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 364
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #5 en: Julio 10, 2015, 10:06:00 am »
Muy buena info. @No tienes permisos para ver links. Registrate o Entra con tu cuenta ! La verdad nunca se me dio por buscar botnets en hostings, pero con este post quizás me ponga a ver algo. jaja

Saludos!

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1913
  • Actividad:
    5%
  • Reputación 15
    • Ver Perfil
« Respuesta #6 en: Julio 10, 2015, 10:56:52 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Muy buena info. @No tienes permisos para ver links. Registrate o Entra con tu cuenta ! La verdad nunca se me dio por buscar botnets en hostings, pero con este post quizás me ponga a ver algo. jaja

Saludos!

Yo he pwneado alguna y la verdad es que aunque nunca tuve suerte con el número de infectados, es bastante divertido joder a este tipo de personas jajajajaja (obviamente si luego la desmontas y no te la quedas tu  ;D)

Saludos.



Desconectado MagoAstral

  • *
  • Underc0der
  • Mensajes: 115
  • Actividad:
    0%
  • Reputación 0
  • Nada resulta más engañoso que un hecho evidente.
    • Ver Perfil
« Respuesta #7 en: Julio 10, 2015, 01:44:56 pm »
Yo un día robé una botnet que tenía algún sistema de la interpol infectado, aún guardo las capturas de pantalla :)
Y respeto al aporte, insuperable muy bien estructurado y un contenido excepcional, me quito el sombrero ante usted.
« Última modificación: Julio 10, 2015, 01:48:01 pm por MagoAstral »
Lo que sabemos es una gota de agua; lo que ignoramos es el océano.

Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email
« Respuesta #8 en: Julio 10, 2015, 01:55:16 pm »
@No tienes permisos para ver links. Registrate o Entra con tu cuenta jeje la estoy pensando, aunque la botnet practicamente esta muerta.

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Yo un día robé una botnet que tenía algún sistema de la interpol infectado, aún guardo las capturas de pantalla :)
Y respeto al aporte, insuperable muy bien estructurado y un contenido excepcional, me quito el sombrero ante usted.

Buena! @No tienes permisos para ver links. Registrate o Entra con tu cuenta, pasa las capturas seria interesante echarle un ojo, saludos!
« Última modificación: Julio 10, 2015, 02:22:37 pm por Expermicid »
Web: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Twitter: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado MagoAstral

  • *
  • Underc0der
  • Mensajes: 115
  • Actividad:
    0%
  • Reputación 0
  • Nada resulta más engañoso que un hecho evidente.
    • Ver Perfil
« Respuesta #9 en: Julio 10, 2015, 03:10:03 pm »
La única que te puedo pasar públicamente es esta que la pasé a un contacto en su día por whatsapp las otras si mal no recuerdo las tengo por un HDD perdidas, la botnet era una Citadel y para obtener el acceso vulneré el servidor en bruto.
Lo que sabemos es una gota de agua; lo que ignoramos es el océano.

Desconectado Baxtar

  • *
  • Underc0der
  • Mensajes: 43
  • Actividad:
    0%
  • Reputación 0
  • NEVER ITS
    • Ver Perfil
    • Email
« Respuesta #10 en: Julio 12, 2015, 07:02:52 pm »
COmo uno podria saber sis esta infectado de cualquier botnet o ser una maquina zombie
Algunos COnsejillos

Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email
« Respuesta #11 en: Julio 12, 2015, 08:26:53 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
COmo uno podria saber sis esta infectado de cualquier botnet o ser una maquina zombie
Algunos COnsejillos

@No tienes permisos para ver links. Registrate o Entra con tu cuenta Interceptar el trafico con algun sniffer es una buena manera, el zbot se comunica por http, directo con el gate.php que es el encargado de obtener los reportes del mismo, la comunicacion va encriptada en RC4.
Web: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Twitter: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Alvares97

  • *
  • Underc0der
  • Mensajes: 68
  • Actividad:
    0%
  • Reputación 0
  • Todo es tan Dificil antes de ser sencillo
    • Ver Perfil
    • Playa de bits
    • Email
« Respuesta #12 en: Julio 13, 2015, 12:49:18 am »
realmente muy completo el post , undercode necesita mas usuarios como tu  :)
esta permitido caerse pero levantarse es obligatorio

Desconectado Baxtar

  • *
  • Underc0der
  • Mensajes: 43
  • Actividad:
    0%
  • Reputación 0
  • NEVER ITS
    • Ver Perfil
    • Email
« Respuesta #13 en: Julio 13, 2015, 01:06:00 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
COmo uno podria saber sis esta infectado de cualquier botnet o ser una maquina zombie
Algunos COnsejillos

@No tienes permisos para ver links. Registrate o Entra con tu cuenta Interceptar el trafico con algun sniffer es una buena manera, el zbot se comunica por http, directo con el gate.php que es el encargado de obtener los reportes del mismo, la comunicacion va encriptada en RC4.

Probare Entonces, con Wireshark , o snort , o netcat

Desconectado titiritero

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #14 en: Julio 15, 2015, 07:52:39 am »
Muy gráfico, he podido verlo como si fuera en primera persona.
Aportes así demuestran que el ingenio también es una herramienta fuerte y que si la combinas con los conocimientos de hacking haces maravillas.

 

¿Te gustó el post? COMPARTILO!