[SOLUCIONADO] Me podría explicar alguien como funciona una Botnet

Iniciado por Hu3c0, Diciembre 13, 2014, 06:03:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Diciembre 13, 2014, 06:03:31 PM Ultima modificación: Diciembre 16, 2014, 11:16:46 AM por Expermicid
Hola compañeros, podría alguien explicarme o mostrarme algún tutorial como funciona una Botnet.He buscado por internet y siempre he recibido los mismos resultados configuraciones de Botnet.

Que diferencias existen entre un Rat y una Botnet?

Digamoslo asi lo que recibe la señal del server.exe es la página Web Botnet y desde ahi se controlan los remotos?.

Cómo se infecta con un Bot? al estilo tradicional con programas infectados, infectando a través de url, como?.

Cómo realiza el spread?, perdonarme es solo por pura información nada más me gusta informarme de todo y aprender.

No logró comprender su funcionamiento por más que lo he buscado, Gracias comunidad por vuestro apoyo y ayuda.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Que diferencias existen entre un Rat y una Botnet?

La botnet se suele utilizar para el banking (roba logs) o tambien apra atacar paginas webs. El troyano o rat, sirve para controlar remotamente una pc.


Digamoslo asi lo que recibe la señal del server.exe es la página Web Botnet y desde ahi se controlan los remotos?.

Eso es depende de la botnet. Hay botnets que se manejan como troyanos y otras que tienen un panel web y desde ahi se manejan los remotos.


Cómo se infecta con un Bot? al estilo tradicional con programas infectados, infectando a través de url, como?.

Exactamente igual que un rat.. Tambien es un server


Cómo realiza el spread?

Depende la botnet, pero en la mayoría de los casos son iguales a los troyanos

Saludos!
ANTRAX


Tambien la diferencia es que el troyano siempre esta conectado al atacante
en la botnet es diferente se conecta cada sierto tiempo al panel puede ser cada 2 minutos cada 30 segundos
se conecta para revisar si hay alguna tarea o un task o activastes algo

Diciembre 14, 2014, 02:31:08 AM #3 Ultima modificación: Diciembre 14, 2014, 02:33:26 AM por OnTheCore
No hay diferencia. Es lo mismo, pero vamos a ver lo que respondieron los usuarios antes y lo que la gente cree generalmente.
Un rat es una herramienta (como su nombre lo indica) de administracion remota, se le suele llamar asi porque tiene opciones como captura de pantalla, ver la arquitectura de las carpetas, etc.
En que se diferencia de un bot? en nada, el bot es lo mismo, pero generalmente se hace la distincion ya que el bot posee las funciones justas y necesarias que necesita el la maneja y estas funciones esta diseñado para ser ejecutadas de manera masiva. Por eso Botnet, es decir, una red de bots o miles de bots conectados a la vez, muchos mas de los que manejarias con un "RAT".
Ambos son troyanos, pero se suelen diferenciar por rat o bot (que en realidad es lo mismo, si lees papers de empresas antivirus, vas a ver que se refieran con troyano, bot, botnet, rat a lo mismo).

CitarTambien la diferencia es que el troyano siempre esta conectado al atacante
en la botnet es diferente se conecta cada sierto tiempo al panel puede ser cada 2 minutos cada 30 segundos
se conecta para revisar si hay alguna tarea o un task o activastes algo
No, estas confundido. La botnet mariposa por ejemplo se conectaba por TCP usando un protocolo propio y establecia la conexion hasta que alguna de las 2 partes (cliente/servidor) se desconecte. Los bots de botnets IRC se conectan de manera directa a un server IRC, la diferencia esta en que es mas facil montar un server IRC en otro lado que no sea tu propia computadora, cosa que no se puede hacer con troyanos con cliente/servidor propio, sin ningun tipo de protocolo standard.

CitarLa botnet se suele utilizar para el banking (roba logs) o tambien apra atacar paginas webs. El troyano o rat, sirve para controlar remotamente una pc.
Na, se usa para todo, desde robo de informacion, ataques a paginas web, espionaje, pago por click, activismo, implantacion de huellas (si, para incriminar a gente de delitos informaticos que no cometio), de proxy, de file server, etc. Podes hacer todo lo que quieras, lo que se te ocurra, pero la botnets estan orientadas a poder manejar miles de zombies, y por eso la gente no se pone a ver camaras webs y otras tonerias que hacen los nenes que juegan con RATs. No tiran un comando para una sola persona, sino que se maneja de forma masiva.

CitarCómo realiza el spread?,
Como cualquier malware. Los troyanos generalmente no tienen capacidad de propagacion (infectando otros ejecutables, copiandose a carpetas compartidas, ingenieria social,explotando vulnerabilidades de otras computadoras o redes), sino que es el que maneja la botnet el que lo propaga. Basicamente infectan otros ejecutables y los publican en foros o redes P2P, explotan vulnerabilidades, ingenieria social, pagan a otros dueños de botnets para que instalen los bots en cada bot infectado, etc.

CitarDigamoslo asi lo que recibe la señal del server.exe es la página Web Botnet y desde ahi se controlan los remotos?.
Es el cliente, como dije antes, puede ser (hablando de conexion inversa)un cliente programado por el que programo el bot o rat, un server HTTP, IRC, Redes P2P existentes o propias, estan quienes usan el protocolo FTP o SMTP, ICMP, DNS, etc.

Basicamente y resumiendo lo anterior. Botnet = Red de bots. No necesariamente una botnet es una red de bots maliciosos, aunque hoy dia botnet = fraude bancario.
El bot es un programa que hace lo que vos le digas dandole un comando.

Os doy las gracias a todos por vuestro despliegue de conocimientos y sabiduria, me ha quedado claro el tema Bot.

Por regla general se conectan a esa página Web entrecomillas en donde a través de su panel de control, se controla y manda hacer tareas concretas.

Una duda más que tengo ¿Si estuviera infectado por un bot, podría ver las conexiones que hace con el cliente, o sólo se conecta cuando se le mandan una serie de ordenes?

Lo digo por que hace  un poco tiempo instalé un firewall muy bueno por cierto y ahora estoy viendo que lo estan compartiendo por varios Foros ese Firewall.

Como trabajo en virtuales, pude ver como antes de cargar el sistema operativo, relizaba conexiones con una página Web en un espacio de tiempo corto y no era akamay ni microsoft ni nada de esto era una página web a la que accedi y había un chat para usuarios de esa web.

Después de lo que me habéis enseñado creo que ese firewall iba infectado con un bot sin lugar a dudas, y lo malo de esto  es que está corriendo por varios Foro amigos!

No es obsesión lo que siento pero si necesito  estar protegido, gracias comunidad underc0de por vuestra ayuda.






No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citar
Por regla general se conectan a esa página Web entrecomillas en donde a través de su panel de control, se controla y manda hacer tareas concreta
No necesariamente se conecta a una pagina web y es controlado por un panel de control, como dije anteriormente.

CitarUna duda más que tengo ¿Si estuviera infectado por un bot, podría ver las conexiones que hace con el cliente, o sólo se conecta cuando se le mandan una serie de ordenes?
Si, pero depende. Estan quienes estan conectados todo el tiempo y quienes se conectan durante ciertos periodos de tiempo. El malware mas avanzado utiliza tecnicas para ocultar el trafico y la manera mas viable de leerlo es fuera de la computadora infectada.


Bueno como dices que lo que quieres es informarte de todo y aprender, y varios ya te respondieron las preguntas, te dejo un enlace a mi blog, en el que expuse una forma de detección para saber si se está en una Botnet:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!
Keroseno
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta