Instalación del Servidor C&C y del bot Zeus

El funcionamiento del servidor C&C requiere del uso de una base de datos (BBDD) asociada a la herramienta C&C. Esta herramienta se ejecuta como un servidor web (HTTP) que se conecta con una BBDD para ir guardando toda la información de los bots así como la información necesaria para su gestión.

La gestión del servidor C&C se hace vía explorador web que se puede ejecutar en la propia máquina (por el BotMaster) o desde otro equipo.

Obviamente se necesita de un servicio web a parte del de la BBDD. Por todo ello se utilizó una versión de XAMPP que dispone de las siguientes funciones (Apache, Tomcat, MySQL, Mercury y FileZilla) y que me facilitó mucho el despliegue de todos los servicios en un solo producto.

4.5.2.1 Creacción de la BBDD

La versión de XAMPP descargada inicialmente era la 7.1.10 que disponía de la versión de PHP 7.1.10 y que dió problemas de instalación. Después de analizar el código fuente de Zeus 2.1.0.1 se observa que utiliza instrucciones PHP como “mysql_connect()”.

Este tipo de instrucciones fueron consideradas “deprecated” a partir de PHP 5.5 y eliminada a partir de la versión 7. Finalmente se optó por emplear la versión de XAMPP/PHP 5.6.31.

Figure 4.3: Archivos Zeus 2.1.0.1. Después de realizar la instalación, se ar-

rancaron los servicios “Apache” y “MySQL”. Se accedió a phpMyAdmin que sirve para ges- tionar la BBDD y se creó una nueva BBDD llamada “zeusdb” en la que el usuario “root” (se dejó sin password) tenía todos los privile- gios sobre ella (aunque esto es muy poco seguro hay que pensar que es un entorno de estudio y aislado).

Además, también se observó que los comentarios del código aparecen en ruso, lo que indica la procedencia de, al menos, esta versión. Hay que tener en cuenta que algunos programadores hacen esto a propósito para despistar en cuanto al origen del programa.

4.5.2.2 Instalación del server C&C

Dentro de la carpeta de Zeus 2.1.0.1 accedemos a la carpeta llamada server[php] (ver imagen 4.3) y la copiamos en la carpeta de XAMPPC:\xampp\htdocspara poder acceder a ella vía web.

Inicialmente accedemos al path127.0.0.1/server[php]/install/index.phpdonde nos aparece la pantalla de la imagen 4.4 con la instalación inicial del servidor C&C [41]. Aquí, debemos completar los siguientes apartados:

• User name – > Usuario para poder acceder al control de los bots. • Password – > Contraseña para ese usuario.

• Host – > Se refiere al host que albergará la BBDD (pudiera estar en otro equipo para proteger la información).

• User – > Usuario para acceder a esa BBDD (“root” por defecto). • Password – > Del usuario con privilegios sobre la BBDD.

4.5. DESARROLLO DEL ESCENARIO

• Database – > Nombre de la BBDD (“zeusdb” en nuestro caso).

• Reports – > Carpeta donde se guardarán los datos (también) de manera local.

• Online bot timeout – > se refiere al tiempo en que un bot se le considera no conectado si no establece comunicación durante ese tiempo.

• Encrytion key – > Importante parámetro porque es en el que se basan las comunicaciones entre el bot y el servidor C&C, ya que están cifradas con esa clave. Cuando creemos el bot hay que introducirle la misma clave en “config.txt”. El cifrado es del tipo 256- byte RC4. • Enable write reports to database – > Habilita el almacenamiento de los informes recibidos

de los bots en la base de datos.

• Enable write reports to local path – > Habilita el almacenamiento de los informes recibidos de los bots en el archivo local especificado anteriormente.

Figure 4.4: Pantalla de instalación. Pulsando el botón “install” se produce la

creación de la estructura completa en la BBDD y la generación necesaria de los parámetros en los archivos que se emplean en la comuni- cación de los bots.

La gestión de la BBDD es crucial, ya que en ella se establecen las tablas y las estructuras que permiten la comunicación con los bots. Con esto ya ha quedado preparada la BBDD que us- ará el servidor C&C vía web como observamos en la imagen 4.5.

Para el acceso al panel de control nos di- rigimos a al path127.0.0.1/server[php]/cp.php

donde nos pide el usuario y contraseña para poder gestionar el panel de control.

En la imagen 4.6 observamos el panel de control (CP) y todo el menú e información que nos ofrece.

4.5.2.3 Creacción de los bots

El siguiente paso es la creación de una ejecutable (.exe) para poder crear nuestros bots que “infecten” las máquinas de nuestra botnet [40].

La creación de este archivo ejecutable se realiza con una aplicación creada para ello y que se encuentra en la carpetaZeus_2.1.0.1/builder/zsb.exe.

Figure 4.5: Base de Datos de Zeus instalada.

Figure 4.6: Panel de Control (CP) de Zeus.

Sin embargo, antes debemos de configurar los parámetros que tendrán nuestros bots modifi- cando el archivo “config.txt” de esa misma carpeta.

Según se ve en la imagen 4.7 tenemos dos tipos de configuraciones (Static y Dynamic) y necesitamos, al menos, modificar los siguientes parámetros [7]:

• url_config – > http//192.168.99.1/Zeus_2/config.bin. Hacemos referencia al binario que se creará al crearse el ejecutable del bot. La IP hace referencia (en este caso) donde esta alojado nuestro servidor C&C.

• encryption_key – > 1234567899. Debe de coincidir con la misma clave que utilizamos en el servidor C&C ya que la comunicación en toda la botnet va cifrada con ella.

4.5. DESARROLLO DEL ESCENARIO

• url_loader – > http//192.168.99.1/Zeus_2/bot.exe. Este path le indica al bot que si necesita “actualizarse” (piénsese que podríamos cambiar las claves de comunicación o utilizar otra

versión de bot) es ahí donde debería descargarse la nueva versión.

• url_server – > http//192.168.99.1/Zeus_2/gate.php. Aquí se le indica con quien debe de comunicarse que “puerta de enlace” con el servidor tiene. Este archivo es a través del cual se comunican bot con el servidor C&C y viceversa.

• file_webinjects – > se hace referencia a donde se encuentran los patrones de las webs a buscar e inyectar.

• webfilters – > Este parámetro tiene dos propósitos:

– Enumerar una lista de URL que se deben anotar o eliminar del registro, independien- temente del tipo de solicitud (GET o POST). Si el primer carácter de la máscara es un “!”, Entonces la coincidencia de la URL NO se producirá (por ejemplo, la máscara “! *”

Prohibirá la entrada de cualquier URL, excepto las enumeradas antes)

– La máscara URL que tenga el símbolo “@” al comienzo realizará capturas de pantalla a cada clic del botón izquierdo del ratón. Esto es muy útil para las webs que emplean teclado virtual.

Existen muchos más parámetros que se podrían configurar, pero quedaría fuera de la extensión de este trabajo explicarlos todos.

Una vez actualizado nuestro archivo config.txt ya podemos ejecutar el archivo “zsb.exe” (ver imagen 4.7). Nos dirigimos a la carpeta “Builder” y allí cargamos el archivo config.txt y a continuación ejecutamos los botones “Build the bot configuration” y “Build the bot executable”. Esto nos generará dos archivos en el mismo path donde estaba config.txt, el archivo “bot.exe” y el archivo “config.bin”.

El Bot-ID consta de dos partes: %name%_%number%, donde:

“name” - - > Nombre del equipo (resultado del comando GetComputerName).

“number” – > un número generado en base a algunos datos únicos del sistema operativo. El archivo “bot.exe” es el que distribuiremos a las víctimas y ambos archivos (el “bot.exe” y el “config.bin”) los guardaremos donde marcamos en el config.txt que en nuestro caso era en

XAMPP/htdocs/Zeus_2/bot.exey enXAMPP/htdocs /Zeus_2/config.binrespectivamente.