Blog

Cómo: usar UFONet

Con el lanzamiento del código fuente de Mirai, las botnets han vuelto a lo grande. En los primeros días de las redes de bots, los zombies (hosts infectados) se reportaban a los canales de IRC (Internet Relay Chat) para recibir instrucciones de CNC (comando y control). Las botnets modernas han evolucionado, pero siguen utilizando los mismos conceptos que sus predecesoras.

Los conceptos básicos de las botnets son simples. El primer paso es encontrar muchas máquinas que sean vulnerables a los ataques. En el caso de Mirai, se establecen los dispositivos de IoT con credenciales codificadas o predeterminadas. A continuación, se explota la vulnerabilidad. En algunos casos, esto significa instalar una RAT (herramienta de administración remota). Las máquinas infectadas o vulnerables son luego controladas por un pastor de bots con una herramienta CNC. A menudo, las redes de bots están codificadas de forma personalizada y la fuente se mantiene en secreto. La razón de esto es la ganancia involucrada. Las botnets se utilizan para DDoS, minería de bitcoins, robo de datos, distribución de spam y fraude publicitario. Algunos pastores de bots incluso alquilar sus botnets por minutos!

En este artículo, examinaremos UFONet, “una herramienta de software gratuita diseñada para probar los ataques DDoS contra un objetivo utilizando vectores ‘Open Redirect’ en aplicaciones web de terceros como botnet”. Caminaré por los pasos como si fuera a lanzar un ataque a un host. Esta botnet de código abierto es fácil de instalar y ejecutar, y es capaz de buscar hosts vulnerables, probarlos, catalogarlos, ejecutar ataques DDoS y más.

Paso 1: obtenga la fuente

Nuestro primer paso es obtener la fuente UFONet, así que abre tu emulador de terminal favorito y clona el repositorio:

También necesitaremos asegurarnos de tener todas las dependencias necesarias para ejecutar esto. Necesitaremos Python> 2.7.9, python-pycurly python-geoip. Para instalar estas dependencias en una terminal en un sistema basado en Debian como Kali Linux, simplemente ejecute:

  • sudo apt-get install python-pycurl python-geoip

A continuación, actualizaremos UFONet:

Paso 2: configurar Tor (opcional)

Si estuviéramos usando UFONet para DDoS a un objetivo, configuraríamos Tor y ejecutaríamos:

Dado que en realidad no atacaremos ningún objetivo ni explotaremos ningún host que no sean los de nuestra red local, podemos omitir la configuración de Tor.

Paso 3: busque hosts vulnerables

Ahora usaremos la función de búsqueda para encontrar hosts vulnerables. UFONet usa solo Bing de forma predeterminada para localizar hosts vulnerables. Esto se puede cambiar con banderas. Utilizaré todos los motores disponibles integrados en UFOnet para buscar un host vulnerable.

  • ./ufonet -s ‘proxy.php? url = “–sa

Este comando le dice a UFOnet que busque sitios que contengan “proxy.php? Url =”, usando todos los motores de búsqueda integrados. Los sitios que contienen “proxy.php? Url =” pueden ser vulnerables a redireccionamientos abiertos. También puede cargar cadenas de búsqueda desde un archivo de texto con el comando:

  • ./ufonet –sd “botnet / dorks.txt ‘

Este comando utiliza dorks.txt de UFOnet como una lista de cadenas para buscar posibles vulnerabilidades de redireccionamiento abierto.

Dado que ninguno de estos sitios me ha pedido que pruebe si son vulnerables a los redireccionamientos abiertos, no verifiqué los hosts. Si hubiéramos seleccionado “Sí”, UFONet habría verificado los hosts remotos asegurándose de que sean vulnerables a las redirecciones abiertas.

Otra opción para localizar objetivos es descargar el archivo zombie de la comunidad de UFONet. No puedo verificar la validez de esta lista, pero vale la pena intentarlo.

  • ./ufonet –descargar-zombies

Paso 4: prueba

Ahora tenemos una gran lista de zombis disponibles para nosotros. Dado que los hosts proporcionados por la comunidad no están bajo mi control, borré los hosts de la comunidad que descargué de mi lista de bots y configuré una página vulnerable en una VM (máquina virtual). Esta página es una redirección abierta simple y pertenece al archivo botnet / zombies.txt.

UFOnet almacena datos en hosts vulnerables en formato de texto en el botnet carpeta. Cada archivo de texto tiene un nombre temático y representa una forma diferente de redireccionamiento abierto.

  • Zombie: bot HTTP GET ‘Redireccionamiento abierto’
  • Droid: bot HTTP GET ‘Open Redirect’ con parámetros
  • Alien: bot HTTP POST ‘Open Redirect’
  • UCAV: estos sitios comprueban si el objetivo del DDoS está activo
  • Dorks: una lista de cadenas de búsqueda potencialmente vulnerables

A continuación, pruebo que mi máquina virtual es vulnerable a una redirección abierta.

  • ./ufonet -t botnet / zombies.txt

Parece que está funcionando.

Paso 5: inspecciona nuestro objetivo

Es posible que deseemos inspeccionar nuestro objetivo en busca de archivos grandes. Afortunadamente, UFONet tiene la funcionalidad incorporada:

  • ./ufonet -i http://192.168.1.97

Centrarse en archivos más grandes no es un paso necesario, aunque puede consumir más ancho de banda del sitio de destino y causar un poco más de estragos. Dado que mi máquina virtual consta de dos páginas alojadas, la página Apache predeterminada y la página de redireccionamiento abierto vulnerable, este comando no va a descubrir nada importante. Aunque, en algunos casos, es posible que descubra archivos de gran tamaño.

Inspeccioné mi servidor web vulnerable. Parece que el archivo más grande de mi servidor web es “ubuntu-logo.png”. Sin embargo, parece que UFONet ha seguido un enlace externo fuera de mi sitio. Si no hubiera leído la información que se me presentó, ¡podría haber atacado al objetivo equivocado! Las herramientas pueden reportar información incorrecta, por lo que es importante prestar atención.

Paso 6: lanzar un ataque

Por último, lanzaré:

  • ./ufonet -a http://192.168.1.97 -r 10 -b “icons / ubuntu-logo.png”

En este comando lanzamos UFONet, y el -a bandera especifica el objetivo a atacar. El -r flag especifica el número de veces que cada host debe atacar. El -B La opción selecciona dónde realizar solicitudes en el destino.

Cuando ejecutamos este comando, UFONet atacará al objetivo 10 veces por cada zombi. Si tiene una lista de 100 zombis, lanzaría 100 zombis por 10 rondas para un total de 1,000 solicitudes al objetivo. Específicamente, solicita el archivo más grande del sitio “ubuntu-logo.png”. Ese número puede parecer pequeño, pero recuerde que con un poco de raspado web y uso compartido de igual a igual, debería ser bastante fácil lanzar un ataque DDoS respetable.

En este caso, recibo un mensaje de objetivo inactivo. Obviamente, mi objetivo todavía está activo. Dado que estoy atacando una máquina virtual local desde mi propia red doméstica, sitios como isup.me que compruebe si un sitio web está activo, lo detectará como inactivo.

Conclusión:

UFONet es solo una de las muchas plataformas de ataque DDoS. Una búsqueda en GitHub o Google de botnets debería arrojar algunos resultados interesantes. Nunca ejecutaría una aplicación de botnet sin leer detenidamente la fuente. Sin una comprensión del código, es muy posible que pueda enfrentar cargos criminales. Si eso no fuera suficiente, ejecutar aplicaciones desconocidas de desarrolladores maliciosos conocidos puede comprometer su sistema, convirtiendo su máquina en un zombi o algo peor. Dependiendo de su ubicación, simplemente probar las vulnerabilidades de redireccionamiento abierto en máquinas remotas podría ser ilegal.

Imagen de portada de UFONet

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar