Dos domingos de cacharreo seguidos y dos domingos que trasteamos con malware 🙈.

El artículo de la semana pasada, el anterior domingo de cacharreo, sobre la campaña de malspam, tuvo mucho apoyo. Por ello hoy damos un paso más.

Hoy vamos a hablar sobre botnets y vamos a cacharrear con una a la que hemos tenido acceso debido a que estaba mal configurado el servidor donde se alojaba. Aparentemente hemos tenido acceso al contenido de los ficheros, ¡vamos a verlos!

Antes de nada queremos explicar qué es una botnet. Una botnet es una red de robots informáticos o bots que se ejecutan de manera autónoma y automática.​ El artífice de la botnet puede controlar todos las máquinas infectadas de forma remota y mandarles ordenes como por ejemplo un ataque de denegación de servicio para tirar un servidor.

La botnet

Del origen de la botnet no quiero acordarme 😂, no vamos a entrar en detalles sobre su origen, pero vamos a cacharrear con ella a ver si sale algo de interés (que lo mismo no XD).

Nota: Este artículo llevamos cocinándolo casi dos semanas y bueno, sigue activo el sitio:

Cierto es que nos indica que es contenido peligroso pero acceder podemos seguir accediendo, es decir, se ha efectuado correctamente el reporte de navegadores pero no el del servidor.

Navegando por la estructura de directorios encontramos el login de acceso al panel de control:

Pero podemos ver más ficheros, vamos a cotillear a ver. Por ejemplo encontramos un .php que se llama registro, pero al menos el que haya montado el servidor tuvo la consideración de borrar el contenido (por protección y esas cosas). Veamos qué más tenemos.

El fichero del login contiene el siguiente código:

En teoría, si no metemos bien la password no podemos ver el fichero correspondiente, pero como podemos ver la lista del directorio… nadie dice que no podamos realmente ver ese fichero 😊 y bueno los más avispados se habrán dado cuenta de algo ya. Hay que decir que está programado de forma muy básica, pero bueno hace su función, ¿no? Para qué perder el tiempo en banalidades.

Miremos el siguiente extracto:

En fin, vamos al fichero ese en el que guarda la contraseña hasheada en MD5, vaya, sí está el hash de la contraseña 🙈😂, a veces nos quejamos de vicio XD.

Así que, bueno, en caso de habernos logueado cosa que no hemos hecho, no en serio, no lo hemos hecho, ¿vale? Que quede claro eso… En caso de habernos logueado si fuéramos el delincuente veríamos lo siguiente:

Un momento, no era esto lo que había que ver, un segundo… que el antivirus está haciendo su función XD.

Vale ya está, dejo la ruta del navegador para que se vea que es en local la ejecución, además he sustituido partes del código que no me hacían falta y así puedo enseñarlo más cómodamente (hay un fichero que comprueba la sesión y si ve que la IP no es la buena borra el fichero de los bots).

Aquí tenemos el archivo index o el centro de ataque, donde podremos comenzar a gestionar los bots. Os traducimos los botones de debajo del formulario tras esta imagen:

Ahora vamos a ver la parte en la que se ven los bots que tiene el malo y que puede controlar.

Nota: el archivo de los bots no me lo he inventado, es el archivo original de la botnet en el momento en el que estábamos viéndola:

Un poco más abajo se puede ver que en este instante la botnet tiene 338 bots.

Ahora pasamos a ver los archivos «ocultos». No son ocultos pero por alguna razón no los han enlazado desde el index (que ellos denominan AttackHub) o la parte de los onlinebots que hemos visto, así que, como sabemos que existen, vamos a verlos:

Las settings/ Los ajustes

Aquí se pude, en teoría, configurar los proxies y en el apartado de blogs, que supongo que serán alternativas a proxies podemos ver que algunos están inactivos y otros parecen web antiguas, ¿pueden ser webs vulneradas?, si alguien sabe más del tema y quiere aportar información que nos lo haga saber, por favor. A ver si es verdad que hacen de proxies.

A destacar del código

Sí hay una parte a destacar del código, aparte de que está programado de aquella manera, son los comentarios, que además están en inglés.

Se encuentran a lo largo del documento explicando que hace cada una de las funciones, por tanto, podemos llegar a pensar que se trata muy posiblemente de un kit, alguien ha vendido el kit y esta gente se lo ha montado tal cual. Como mucho habrán cambiado el nombre de la botnet y ale. Eso significa que cualquiera, sin tener idea técnica puede acceder a este servicio comprando el kit de botnet.

Esto no es algo nuevo, lo hemos visto con los phishings, con el malware… pero ahora aquí, con los comentarios del código, os presentamos un ejemplo visual de ello para que veáis que es cierto.

Ahora vamos a pasar a ver los ejecutables a ver qué hacen, porque nos han dado acceso al pack completo vamos, me imagino el típico anuncio: edición botnet del año con ejecutables y C&C + DLCs por 1000€ al mes XD.

Hora de los binarios

Venga veamos esos ejecutables tan majos, que por cierto el antivirus ha intentado borrar. Seguimos con AnyRun, el día que instalemos Cuckoo usaremos Cuckoo 😂.

Nota: no esperéis mucho de esta parte que de malware no tenemos ni idea XD.

vlauto.exe

Este fichero .exe cuando ejecuta se conecta con el servidor y va a las carpetas y ficheros que pueden verse en los request de la imagen aumentando la lista de targets y por tanto aumentando la capacidad de la botnet. Hay que decir que es detectado por múltiples antivirus.

Aquí podemos ver los archivos que modifica/añade al sistema operativo:

TimerSampleInCSharp.exe

Aquí podemos ver que archivos está modificando/añadiendo al sistema operativo:

Parece ser que este ejecutable solo hace accesos al fichero «checkgame.php»

Hora OSINT

Llegados a este punto estaría bien saber cuál es el objetivo de la botnet. En estos archivos que hemos estado viendo aparece una url a una web (ese fichero no lo hemos enseñado porque solo contiene dicho enlace). Esta web parece que ha sido bloqueada por el ISP, imaginamos que ahí se vendía el kit, por así decirlo es la firma del programador.

Comenzamos a buscar un poco y llegamos a un canal de YouTube que tiene un gameplay de un videojuego. Seguimos indagando un poco y encontramos que podría estar relacionado con otros dominios que han estado propagando malware y que casualmente están relacionados al juego «Free Fire».

Además recordemos que hay un fichero que se llama «Check Game».

Conclusión

Así que como pequeña conclusión de «Quick OSINT with any evidence» podemos decir que está relacionada con videojuegos, es decir, en un principio se podría hacer pasar por un juego legítimo, o un accesorio para el juego (ya sea de skins gratis, armas o un hack para el mismo), pero cuando lo bajas o instalas en realidad te estás metiendo un bicho.

Algunas curiosidades más

Aquí vemos en Virus Total que es un troyano genérico, tengo que decir que la fecha de detección va una semana tarde (quiero decir con esto que no es algo fiable al 100%, es una herramienta muy útil por supuesto y muy necesaria, pero, si nadie sube la muestra, no nos sirve la intel, o al menos no en los casos en los que prime la urgencia, a no ser que seamos capaces de generarla por nosotros mismos).

Nos quedamos con lo importante, ya lo detectan la mayoría de antivirus:

Finalmente una curiosidad que nos ha hecho gracia:

Qué fácil es encontrar botnets así ¿no? 😜.

Si os ha gustado, dadle apoyo para que sepamos que os gusta este tipo de contenido y podamos traer más y mejor

¡Hasta la próxima!

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

Autor.