MANUAL DE INSTRUCCIONES DEL BO (PA' TORPECILLOS) ------------------------------------------------ By spit - {Q#} 0.- Indice. ------------ 1.- Que es el BO? 2.- Caracteristicas del BO. 3.- Comandos. 4.- Consejillos. 5.- Detectores y avisadores. 1.- Que es el BO? Pues resulta que el BO no es mas ni menos que un virus. Lo que ocurre es que es un virus muy potente pero muy sencillo. Potente, porque un ordenador infectado con el BO permite a cualquier persona (conectada a internet) entrar y disponer del PC completamente. Sencillo, porque no se trata de un virus convencional. No es un virus con efecto destructivo y de esos tan infecciosos y escondidos que son tan complicados de desinfectar. Sencillamente se trata de un troyano. Un troyano es un virus que viene escondido en otro programa y que necesita ser ejecutado por el usuario para instalarse en el sistema. No es infeccioso, es decir no tiene un trozo de codigo destinado a que el virus infecte todo lo que pilla, mas bien simpre forma parte del programa en el viene o fue puesto. No contamina a otros programas. Cuando se ejecuta el file se instala y desaparece dejando unicamente la huella de su efecto para el que fue dise€ado. Si es detectable, aunque por las caracteristicas del virus (troyano)la malloria de los antivirus no lo detectan. No trae efecto destructivo propiamente dicho. La 'destruccion' la causan los espabilaos que se van colando en el ordenador y hacen de sus malas gracias. 2.- Caracteristicas del BO ---------------------------- El BO en verdad es un programa que establece una conexion cliente servidor entre la victima y el espabilao. El programa cliente forma parte del ordenata del agresor mientras el servidor debe ser instalado en el ordenata de la victima. Por eso, la parte infecciosa del virus no la trae el, sino que son las propias personas quienes lo distribuyen por las ventajas que el propio virus facilita al agresor cuando esta instalado. Funciona en ventanukos95, osr2 y ventanukos98. Lo unico que hace en su instalacion es modificar una DLL del ventanukos a la que a€ade multitud de nuevos comandos accesibles por el agresor desde su ordenador. 3.- Comandos del cliente -------------------------- - App add - Sirve para asignar una aplicadion a un puerto y tener acceso a ella a traves de ese puerto mediante via telnet. La mallor utilidad de este comando es cargar el command.com y asignarle un puerto. ejemplo: Exen location _parametres= c:command.com Port = 23 Ahora se le hace telnet a la victima y veremos como se convierte en un shell del dos. Esto abre oportunidades interesantes, como es ejecutar comandos de dos que desde otro lado no podiamos. Si sabemos que la victima ya tiene un atacante que ha abierto un HTTP server, le ejecutamos el comando netstat a la victima y averiguamos asi quien es el otro atacante. - App del - Cuando se abre una aplicacion se le coloca un ID (numero de aplicacion abierta). Para borrar una aplicacion abierta necesitamos ese ID. Es el primer nimero que sale cuando abrimos la aplicacion. - Apps list - Lista las aplicaciones abierta. Aunke las haya abierto otro tambien las muestra. Esto tambien abre muchas oportunidades... pensad pensad... - Directory Create - Crea directorio. MD del dos - Directory List - DIR del dos......lista directorios - Directory remove - Pues este borra los directorios... - Exports add - - Exports delete - - Exports list - - File copy - Copia un fichero de un lugar a otro del ordenata de la victima. - File delete - Te cargas lo que le pongas. - File find - Busca un file en el ordenador de la victima. Es muy util cuando no sabemos donde esta un fichero que hemos abierto o subido. Ejemplo: cuando hacemos un keylog. - File freeze - Comprime ficherillo en el ordenata de la victima. - File melt - Lo descomprime. - File view - Es el TYPE del DOS. Muestra el contenido de un fichero (de texto). - Http Disble - Desactiva servidor HTTP - Http enable - Activa servidor HTTP. Esto permite acceder al ordenador de la victima mediante el navegador. Esta forma de hacerlo es la mas practica de todas pero la mas detectable. Estariamos al descubierto con un simple netstat. El modo de funcionar es muy sencillo. Se le indica al bogui el puerto (ejemplo 83) y la unidad (ejemplo c:). Luego en el navegador ponermos en el espacio de url: http://IP_de_la_victima:port. En nuestro ejemplo: http://234.432.123.53:83 Al final de la pagina esta la opcion UPLOAD por si queremos dejarle algun regalo. Si pinchamos sobre algun archivo nos lo bajamos o si es una imagen, un txt o un html lo muestra directamente. - Keylog begin - Activa el capturador de teclas. Podemos capturar asi todo lo que escribe la victima. Se nos pide el nombre del fichero donde se grabara. Ejem: C:system.txt. Luego ya sea con file view o desde el HTTP server leemos el archivo cada 'x' tiempo y sabes que hace. - Keylog end - Desactiva el keylog. - MM Capture avi - Pues eso...captura en ofrmato video lo que hace la victima. Necesitamos especificar el nombre del fichero por un lado y el el otro los segundo y el tamaño de la imagen. - MM Capture frame - Captura la pantalla pero se le puede dar dimensiones a la pantalla. En formato BMP. - MM capture screen - Captura la pantalla tal y como es. Solo requiere el nombre del fichero. Graba en BMP. - MM List capture - Lista los procedimientos de captura que se estan llevando acabo... - MM Play sound - Hace sonar un fichero wav que se encuentra en el ordenador de la victima. Por lo tanto si queremos uqe suene algo nuestro priemro hay que subirselo. - Net connections - Muestra las conexiones netbios que estan en marcha. - Net delete - Borra algun recuerso de red de netbios. - Net use - es el comando NET USE de netbios. Asigna un recurso netbios a una unidad. Necesitamos pasword si es ke lleva. Normalmente si. - Net view - Es el comando NET VIEW de netbios. Establece una relacion de los recursos netbios abiertos. - Ping host - Pues eso. Para saber si un host-victima esta en la red. SI en el target ponrmos tres subredes y la ultima con un '*' entonces escanea ese rango de ips. Ejemplo: si ponemos 234.231.432.* escaneara desde 234.231.432.1 hasta 234.231.432.255. Si sale PONG en la pantalla receptora de mensajes es que tenemos victima. - Plugin execute - Ejecuta plugin en ordenata de la victima. Hay que subirlo pues. - Plugin kill - Desinstala plugin. - Plugins list - Lista los plugins que hay. - Process kill - DEsactiva los programas que iban en marcha. - Process list - Lista d eprogramas en marcha... - Process spawn - Ejecuta programas. Aunke cuando la he puesto en marcha la victima siempre ha desaparecido por lo que algunas veces igual se cuelga el BO. - Redir add - REdirecciona por t amodo de bouncer. Hace como de repetidor. A la salida del repetidor-victima tenemos su ip en lugar de la nuestra. - Redir del - LA inversa de lo de antes. - Redirs list - Pues eso....las lista. - Reg create key - Crea una llave el archivo de registros del ventanucos. - Reg delete key - Se cepilla la llave. - Reg delete value - Se cepilla un valor del registro. - Reg list keys - Lista las llaves... - Reg list values - Lista valores... - Reg set value - Coloca un valor en una llave del registro. Requiere nombre de la llave por un lado. Por otro tipo de dato: S- cadena de texto B- Numero binario D- Numeros decimales y el valor del dato... - Resolve host - Resuelve la ip de un tercer host.... - System dialogbox - Le muesta una ventana del sistema a la victima. Se le indica el titulo de la venta y el texto que aparece en ella. - System info - Da informacion acerca del host victima. - System lockup - Le bloquea el ordenata.... - System passwords - Le saca los user y pass de las cuentas que hayan en el host y de alguna paginas web que han solicitado algun tipo de user/pass. - System reboot - Reinicia el ordenata.... - TCP file receive/send - Con la ayuda de programas como netcat (esta en unix y en ventanucos) se pueden enviar y recibir ficheros. Segun el manual la linea del netcat seria: netcat -l -p 666 < file 4.- Consejillos ---------------- Como hemos visto hay varios comandos que nos permiten hacer las mismas funciones. Sin embargo segun se apliquen unas y otras daran un toque minimo de 'clase' o bien resultará chapucero, como ocurre en la mayoria de los casos. Cuando se detecta una victima..lo primero que se deberia hacer antes que nada es pedirle una info del sistema y capturar las passwords, que a fin de cuenta es lo que nos va a resultar mas util...y con diferencia... A partir de aqui las opciones son multiples.... pero siempre unas denotan mejores formas que otras como comentaba antes. Si la finalidad es echarle un vistazo al disco duro, o bien echarle un vistazo a algun archivo de texto yo aconsejo los comandos directory list y file view. La otra manera de hacerlo seria o con el HTTP server o con un Add application. Sin embargo, estas ultimas estan en desventaja porke como usar un port establecido y continuo para realizar esto siempre es muy detectable con un simple netstat (comado que viene en el dos del windows). Las victimas veran una conexion establecida en el port 31337. Sin embargo si se procede a bajarse algun archivo o ver alguna imagen la opcion mas rapida SI es el http server...aunke corremos el riesgo descrito antes. Si nuestro objetivo es averiguar info de su sistema el mejor comando es el system info y nada del Add application. Larazon es la misma...el add application se ve en un netstat. SI se utiliza el Add Aplicattion cuando queremos averiguar que conexiones tiene establecidas. El comando que nos averigua eso (netstat) no viene con el vo y la mejor manera de verlo es haciendo un add aplicattion del file c:command.com al puerto 23 (telnet). Conectamos con telnet a la victima ('telnet IP_victima') y ejecutamos netstat. Esto nos hace ver si tiene otro atacante conectado....entre otras cosas. Si la finalidad es hacerle saber que estamos ahi no se debe: - Insultar o despreciar con las ventanitas emergentes (si se le pueden decir otras cosas) - Bloquear el host - Resetear el host - Borrar algo del host - A€adirle algo al host (sea directorios, files, retocar autoexec, el config..) Yo creo que no es nada justo realizar nada de eso. Si la finalidad es llamarle la atencion coño...hacerlo con clase: - Enviarle un archivo WAV con una advertencia grabada y con musica de fondo.. yo tengo uno..me quedo genial. Subirselo al host de la victima y hacerlo sonar con MMplay sound. A cuadros, se quedan a cuadros.... Sobre el keylog, cuando creais el archivo acordaros de en cuanto podais y despues de usarlo, borrarlo. Si se pretende llevar una conversacion en tiempo real y una vez activado el keylog, NO da tiempo a combinar los comandos System Dialogbox (para mandar mensaje) y file view (para ver que contesta). Entonces se puede proceder a una tecnica mucho mas comoda aunque corremos el riesgo de siempre (ser visto por el netstat). La tecnica es abrir un http server y pinchar alli, desde el navegador, sobre el archivo creado por el keylog. Asi podemos escribir desde el bogui los mensajes y leer lo que contesta (en el navegador) con solo cambiar de ventana. Para actualizar el archivo del keylog solo hace falta pulsar sobre el reload del navegador. Asi sale mas o menos en tiempo real la conversacion. Una advertencia: El BO es detectable con un detecta nukes (ICMPWATH) o un firewall (CONSEAL) o un TCP listen. Lo digo porke si estan en irc cuando entrais vana ver la conexion. Hay muchas probabilidades que no hagan caso...pero el BO lo conoce todo el mundo y cada vez es mas dificil camuflarlo. 5.- Detectores y Avisadores ---------------------------- Logicamente el BO se ha difundido muy rapido por su facil manejo y las posibilidades que ofrece. Por ello muy rapidamente compañias y usuarios se han puesto en marcha y ya estan muy difundidos los detectores y avisadores. Detactarlo lo detectan y lo borran (curan) la mayoria de programas de virus: - EL AVP (http://www.avp.com) - La ultima version del Panda - El ultimo McAfee - Detectores como el BOdetect 1.5 (http://www.spiritone.com/~cbenson) Luego tenemos los avisadores: - EL NOBO en portugues y ingles (http://web.cip.com.br/nobo) Muestra un mensaje y hace un log - El BOSPY en ingles (http://www.angelfire.com/id/chaplinhack) Este es una caña. Muestra todo conmo si estuvieras infectado pero la info es completamente falsa. Ademas de hacer tambien un log de quien conecta, trae la posibilidad de escribirle mensajes al atacante (y funciona!). Trae las frases que muestra por defecto (y son una kk) pero con un simple editor hexagesimal se convierte en una joya. Por cierto el fichero ocupa 150k o asi... todo lo que este por encima o por debajo...mal asunto.