Selección de las versiones de las máquinas virtuales

Como ya se ha comentado anteriormente las máquinas utilizadas deben ser Windows de 32 bits, con lo que las seleccionadas han sido las de Windows 7 (32 bits), aunque nos hemos encontrado con los siguientes problemas:

• Estas máquinas tienen una licencia trial de un máximo de 90 días con lo que es necesario realizar algún snapshot de las máquinas de vez en cuando con lo que reduce los recursos de disco duro de la máquina anfitrión.

4.5. DESARROLLO DEL ESCENARIO

• El problema más importante fue el de las distribuciones (distros) descargadas de la página web de Microsoft. Todas las que tengan la misma versión son copias “exactas” y esto nos plantea un problema con los bots.

Asumiendo que en un entorno real sería casi imposible encontrar 2 computadoras exactamente iguales, en nuestro laboratorio SI tenemos todas ellas iguales y el problema se da cuando son infectadas con el bot y se ponen en comunicación con el servidor C&C.

El servidor C&C registra cada bot con un nombre que depende de la máquina zombi con parametros como su versión, licencia, versión de Explorer, etc. Como todas las imágenes son iguales los bots se registran con el mismo nombre en la BBDD y la información de unas con otras “se sobrescribe” es decir, solo tenemos una máquina zombi (bot) conectada y recibiendo información y por si fuera poco solo podemos distinguirla por su IP (que sería la misma si se comunicasen a través de un NAT). Es decir, en el peor de los casos no sé qué máquina me está enviando la información y solo podría gobernar una de ellas.

Así pues, se optó por descargar tres versiones de Windows 7 (todas las que ofrece la web) que se diferencian por su versión de IExplorer y de esta manera los tres bots tienen diferentes nombres y pueden ser gobernados sin ningún problema. Hay que poner de manifiesto que otra solución podría haber sido el cambiar el nombre de la computadora (máquina virtual) cambiando el nombre del bot (Este se hizo posteriormente).

Las seis máquinas virtuales tienen roles diferentes por lo que disponen de diferentes aplica- ciones y/o servicios. La disposición de las aplicaciones en cada una es:

• Servidor C&C.

– Apache (Servidor XAMPP): Sirve de servidor web para la gestión, mando y control de la Botnet.

– MySQL (Servidor XAMPP): BBDD a la que se conecta el servidor web para el almace- namiento de datos de todo lo relacionado con la botnet.

– WireShark: Analizador de protocolos que sirve para ver el tráfico entre los bots y su servidor C&C.

– Blue Botnet: Botnet malware que sirve para realizar un ataque DDoS compuesto por una consola de control y ejecutables a distribuir entre las máquinas. Este ejecutable sera puesto a disposición a los bots para que se lo descarguen y realizar un ataque DDoS con él.

• Maquinas zombis.

– Internet Explorer: Ya viene preinstalado en el ordenador y se empleará para simular accesos a servidores web como si de un usuario se tratara. Se implementará una inyección web a un usuario como práctica.

– Diversos ejecutables: * Bot_Blue_botnet * HitmanPro

* Belkasoft -dump Memory RAM- * Dependency Walker

* PEStudio. • Maquina víctima.

– Apache (Servidor XAMPP): Sirve de servidor web para simular una web lícita a la que accede un usuario-víctima. Se ha reutilizado una web creada para una PEC anterior de la UOC. Se practicará un ataque DDoS a dicha web.

– MySQL (Servidor XAMPP): BBDD a la que se conecta el servidor web y que dispone de verificación del usuario y contraseña, así como de algo de información a mostrar. Con todo lo anterior se ha establecido la siguiente topología de red (ver imagen 4.9) dentro de la misma red local (192.168.99.0/24) en la que todos los equipos pueden acceder entre sí sin NAT o puertas de enlace entre ellas. Se muestra la imagen 4.10 de VMWare Pro 12 con las máquinas en funcionamiento.

Nota: Es de reseñar que mas adelante se ha añadido otra máquina zombi mas a nuestra practica con el objetivo de realizar ataques DDoS más efectivos.

A continuación, se expondrán las pruebas realizadas en nuestro laboratorio/escenario. Las dividiremos en cuatro prácticas para cubrir casi todos los aspectos en los que emplear esta botnet.

1. Práctica de funcionamiento básico y empleo de comandos. 2. Práctica de web injection.

3. Práctica de ataque DDoS (Blue Botnet).

4. Práctica del análisis forense de un equipo infectado (bot).

Solo se han propuesto las pruebas anteriores por que de otra manera la extensión de este trabajo seria inabordable, pero se quiere señalar que existen otro tipo de ataques muy interesantes [42] como son los siguientes:

• Se pueden redirigir las consultas de web legitimas a falsas para poder hacer un ataque de tipo phishing. Esto se puede configurar en el archivo “config.txt” en el parámetro “WebFakes”.

4.5. DESARROLLO DEL ESCENARIO

Figure 4.9: Escenario final práctico.

Figure 4.10: Máquinas virtuales del laboratorio en funcionamiento

• Especificar URL’s para que sean monitorizadas e incluso envíen automáticamente una imagen de pantalla (screenshot) cuando se detecta la pulsación del botón izquierdo del raton. Esto se puede configurar en el archivo “config.txt” en el parámetro “Webfilters”. • Añadir entradas al DNS de la máquina local (HOSTS) para realizar redirecciones a sitios

maliciosos (DNS poisoning). Esto se puede configurar en el archivo “config.txt” en el parámetro “DNSMap”.