jueves, enero 20, 2011

Malware educativo: Botnets & R.A.T.s

Cuando trabajas en seguridad informática, en cualquiera de las áreas que tengan que ver con malware, pentesting, reversing, exploiting, etcétera, siempre hay cerca una cierta fascinación por el otro lado, es decir, por ser tú el malo. Lo cierto es que para poder aprender cómo funcionan las cosas en seguridad, es necesario ponerse el gorro que muchos llaman gris, y hacer un poco el malo, pero sin pasarse.

¿Cómo va a aprender alguien con soltura a hacer auditorías de seguridad web si no ha trasteado con alguna antes? ¿Cómo vas a entender el funcionamiento de un troyano reverso si nunca has jugado con uno? ¿Cómo vas a crear un exploit si nunca lo has lanzado?

En este caso, algunos de mis chicos, para aprender un poco más sobre malware - ¿estaremos pensando en convertir la FOCA en una botnet de verdad? – han creado unos bots, con fines educativos. Estas herramientas son totalmente funcionales, pero se han creado para ser utilizadas en los cursos, auditorías, y pruebas. Así que, por si las quieres usar tú para aprender, aquí las tienes.

La Prablinha

Esta es una herramienta de Bonet para sistemas Windows que está escrita en C#. Los bots son de conexiones reversas y se controlan mediante comandos IRC. El código fuente completo está disponible junto con los binarios y si quieres colaborar, modificar algo, o añadir cosas, puedes realizarlo.


Figura 1: Panel de Control de la Prablinha


Figura 2: Herramienta de creación de bots

La herramienta viene con su Panel de Control, que se monta en PHP y con su generador de bots. Tienes un manual de cómo configurar el panel y cómo usar los bots en la siguiente URL: Prablinha.

Flu

Flu es otro troyano reverso, también Open Source, y también escrito en C# que están realizado otros de mis compañeros. En este caso la herramienta recuerda mucho al tipo de cosas que se puede hacer con una R.A.T. preconfigurada con ataques.

Entre otras lindezas, permite: Apagar sistema y Cerrar sesión, Detener el servicio Centro de seguridad, Mostrar versión de Windows, Mostrar listado de drivers instalados, Mostrar información completa del sistema, Mostrar direcciones MAC de los adaptadores de red,Mostrar configuraciones de las interfaces de red, Mostrar listado de conexiones de red realizadas, Mostrar listado de procesos en ejecución, Mostrar servicios del sistema, Mostrar mensaje de infección por pantalla, Crear usuario nuevoAdmin con contraseña 123456, Convertir usuario nuevoAdmin en administrador y el flamante, y siempre imprescindible, ataque David Hasselhoff. Actualmente está en versión Flu beta 0.2.


Esperamos que estas herramientas os sirvan para aprender y enseñar cómo funcionan las R.A.T.s y las botnets.

Saludos Malignos!

12 comentarios:

seifreed.com dijo...

Hola!

Siiii por fin ya se podrá probar estas herramientas :P

Un saludo

Anónimo dijo...

Que pasote:)

Un detallazo hacer esto con tanto mimo y publicarlo.

Un saludo.
Manolo.

Sorian dijo...

Gracias por difundir el conocimiento! Lo probaremos!! : )

ar3sw0rmed dijo...

Chema, siempre me ha gustado tu trabajo como informatico. Si te pasas por algun conf en argentina te estaremos esperando con los brazos abiertos un buen grupo. saludos amigo :)

Felicienta dijo...

Me encanta la dedicacion que pone Chema en su trabajo....

Oye.. estoy armando tu club de fans por estos lados ;)

Un besote.

Anónimo dijo...

Chema donde puedo encontrar el video de Pedro Sánchez montado en un gorrino que mostro hoy en Coruña.

Anónimo dijo...

http://www.youtube.com/watch?v=MYaj1zJIlzM

Matias dijo...

ar3sw0rmed dijo...
Chema, siempre me ha gustado tu trabajo como informatico. Si te pasas por algun conf en argentina te estaremos esperando con los brazos abiertos un buen grupo. saludos amigo :)



Lo mismo digo chema, Feil seguidor del blog, llegar al trabajo encender el equipo preparar unos mates, entrar al lado del mal, y recien ver si hay algun server a punto de estallar :) saludos desde Arg.
Matias.

Anónimo dijo...

Esto... en la pag de descarga ni en el foro encuentro el pass del zip.
Me dejo algo? No puedo descomprimir el BIN sin el pass

Anónimo dijo...

Nada. el .RAR pide pass pero el .zip no... en fin, no se de donde he sacado el .rar ese ^^

Anónimo dijo...

El Prablinha ya no esta disponible

Anónimo dijo...

alguien sabe de algun Keylog remoto util facil de instalar y que no lo detecte el AV

Gracias

Entradas populares