#258817 por TheSur
03 Ene 2011, 20:55
Como ya habia anunciado en [ Debe registrarse para ver este enlace ] , la Prablinha pasa a ser OpenSource con la nueva release 3.0RC.

Esta misma mañana también hice un llamamiento a colaboradores (Aprobecho para volver a hacerlo), si algún usuario quiere formar parte del proyecto y desarrollar algun modulo o funcionalidad, ya sea en el zombie (C#), en el generador (C#) o en el panel de control (PHP+MySQL), es bienvenido, no tiene más que enviarte un PM o contacter conmigo en mi dirección de correo. Me ha llevado mucho tiempo y dedicación llevar este proyecto :cf: , y ahora publico el código fuente de la aplicación con la finalidad de compartir, por lo que lo unico que pido, es que si usas esta aplicación para la generación de una botnet, me dejes un 'feedback' de cual ha sido tu impresión, y me reportes fallos o posibles mejoras, y si quieres colaborar conmigo mejor que mejor, que necesito un descanso :beer: .

En cuanto a las condiciones de uso, realmente me la suda que te crees una botnet de X mil zombies y andes jugando a tirar servidores, tanto la generación del zombie, el despliegue del mismo o la realización de actividades ilegales es responsabilidad tuya.

=== DESCRIPCIÓN ===

Prablinha 3.0RC
Toolkit de generación de botnets OpenSource. Permite la generación de zombies configurados.

Caracteristicas principales:
- Comunicación con los zombies a través de un panel web.
- Permite la comunicación cifrada con los zombies (SSL).
- Los zombies informan de su geolocalización IP al dueño de la botnet.
- Posibilidad de realizar ataques de denegación de servicio TCP, UDP y HTTP.


=== MANUAL DE USUARIO ===

Creación y administración del panel de control
El panel de control se trata de una aplicación en PHP que hace uso de una base de datos MySQL.

Tras copiar los ficheros del servidor web en un servidor con soporte PHP, será necesario editar el fichero /inc/config.php e introducir el servidor de base de datos MySQL, unas credenciales válidas y la base de datos sobre la que trabajará la aplicación para gestionar el control de los zombies.

Imagen


Una vez configurado, será necesario crear la base de datos. Para ello será necesario cargar el script ‘db.sql’ adjunto en el proyecto, el cual creará la estructura de tablas necesarias. Esto puede ser realizado con aplicaciones como ‘HeidiSQL’ o ‘PhpMyAdmin’ entre otras.

Imagen


Una vez ejecutado el script podremos acceder a nuestro panel de administración de zombies. Las credenciales de acceso por defecto son thesur\thesur. Pueden ser cambiadas desde la tabla ‘usuarios’ de la base de datos.

Imagen


Una vez dentro, si hemos realizado la infección de algún equipo, visualizaremos un panel que nos informará de la lista de zombies conectados ordenados por cada país.

Imagen


Si hacemos clic sobre ‘Ver opciones’ podremos ver una lista detallada de la información de cada zombie en cada país. A continuación se muestra una captura de pantalla en donde se ven los datos correspondientes a los zombies localizados en España.

Imagen


En el menú superior localizado en la parte superior izquierda están disponibles las distintas formas de dar ordenes a los zombies. ‘OnRuntime’ y ‘OnJoin’.

Imagen


Las ordenes ‘OnRuntime’ son enviadas a todos los zombies conectados en ese mismo momento a la botnet. Sin embargo, las ordenes ‘OnJoin’ son ejecutadas automáticamente por los zombies cada vez que estos se conecten a la botnet.

Si accedemos a cualquiera de las dos opciones, veremos un menú similar al siguiente:

Imagen


Desde aquí se pueden llevar a cabo los ataques de denegación de servicio mediante conexiones TCP (Ejpl: Para tumbar un servicio SMTP), UDP (Ejpl: Consumir el ancho de banda de una servidor), o HTTP (Ejpl: Consumir el máximo de sockets permitidos por un servidor web).

El número de sockets indica el número de conexiones concurrentes que mantendrá cada zombie contra el servidor, y ‘kb/s por socket’ indica el tamaño de cada paquete enviado por cada socket en kilobytes.


Creación del zombie
Para la creación y configuración de un zombie con el que llevar a cabo la infección de equipos, es necesario la aplicación C&C.exe y hacer clic en ‘ADN’. Indicar en el cuadro de texto el ADN que se utilizará para la generación del zombie y hacer clic en el botón ‘Siguiente’.

Imagen


A continuación se comentan cada uno de los distintos parámetros:

1. Regedit Name: Nombre de la clave de registro utilizada para la ejecución del zombie en cada inicio del sistema.

2. Install Name: Nombre con el que se copiará el zombie en disco (Ubicación %userfolder%/AppData/Local/[InstallName]). El zombie ejecutará el loader en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este campo un nombre de un proceso existente (Ejpl: No introducir ‘explorer.exe’)

3. Loader name: Nombre con el que se copiará en disco el loader en disco (Ubicación %userfolder%/AppData/Local/[LoaderName]). El loader ejecutará el zombie en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este campo un nombre de un proceso existente (Ejpl: No introducir ‘explorer.exe’)

4. C&C Panel (URL): El directorio donde hemos instalado nuestro panel de administración (Ejpl: [ Debe registrarse para ver este enlace ]). Es posible utilizar tanto HTTP como HTTPS para cifrar los datos y evitar la detección de posibles ID’S en la red.


Finalmente, hacer clic en ‘GENERAR’. Una vez finalizado se creará un ejecutable con el nombre ‘Zombie_X.exe’, el cual está listo para ser desplegado y para comenzar a crear nuestra botnet.

Adicionalmente, recomiendo que una vez se haya generado el zombie, se le apliquen técnicas de ofuscación para sus métodos y atributos. Esto puede realizarse con la aplicación gratuita ‘EazFuscator.NET’.

=== CHANGELOG===

3.0RC
C&C
- Migración del antiguo panel de control (aplicación de escritorio) a una aplicación web (PHP+MySQL).
- Añadido UDP DDoS y HTTP DDoS.
ZOMBIE
- Migración de comunicación por IRC a HTTP o HTTPS
- Añadido UDP DDoS y HTTP DDoS.
- De nuevo indetectable :)
2.1
C&C
- Interfaz simplificada (Y generación del manual de usuario)

2.0
C&C
- Generador de zombies con su propia configuracion
ZOMBIE
- loader y prablinha ""NO"" se cierran al detectar el taskmanager, processmonitor

1.1
C&C
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- visualizacion de la lista de zombies y su geolocalizacion.
- añadido el comando PRIVMSG, UPDATEZOMBIESINFO y ANSWERONCHANNEL
- soporte multicanal cuando se detectan mas de 100 zombies por canal
ZOMBIE
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- generacion de un nuevo canal cuando se alcanzan los 100 zombies por canal
- deteccion de K-Lines y G-Lines, cambian al servidor alternativo.
- Permite que los zombies respondan por privado en vez de por canal (comando ANSWERONCHANNEL on|off).
- configurable el numero de kbs/s en cada socket en el tcpflood (tcpflood start IP PORT SOCKETS [KBS]).
- el zombie envia geolocalizacion ip al entrar al canal o mediante el comando UPDATEZOMBIESINFO
- infección más persistente. Sobreescritura de los binarios y del registro.
- instalacion de un loader que llama a la prablinha y viceversa cuando esta se ha cerrado.
- loader y prablinha se cierran al detectar el taskmanager, processmonitor o processexplorer
- La conexion a la botnet se realiza en la primera ejecucion
- Añadido el comando UPDATEZOMBIESINFO y ANSWERONCHANNEL

1.0
C&C
- comunicacion encriptada.
ZOMBIE
- Instalacion como CurrentUser (registro)
- comunicacion encriptada.
- tcpflood a IP y puerto, enviando 50kb/s por cada socket (nº de sockets personalizable).
- generación de owners, canal y clave aleatoria cada mes.
- descarga y ejecucion de ficheros.
- ejecucion de ficheros.
- La conexion a la botnet se realiza en su segunda ejecucion (o reinicio del equipo)



=== Información de descarga ===

Página oficial: [ Debe registrarse para ver este enlace ]
Descarga del codigo fuente y binarios: [ Debe registrarse para ver este enlace ]

* Requiere el framework .NET

Antivirus results
AhnLab-V3 - 2011.01.02.01 - 2011.01.02 - -
AntiVir - 7.11.1.17 - 2011.01.03 - TR/Dropper.Gen
Antiy-AVL - 2.0.3.7 - 2011.01.03 - -
Avast - 4.8.1351.0 - 2011.01.03 - -
Avast5 - 5.0.677.0 - 2011.01.03 - -
AVG - 9.0.0.851 - 2011.01.03 - -
BitDefender - 7.2 - 2011.01.03 - -
CAT-QuickHeal - 11.00 - 2011.01.03 - -
ClamAV - 0.96.4.0 - 2011.01.03 - -
Command - 5.2.11.5 - 2011.01.02 - -
Comodo - 7286 - 2011.01.03 - -
DrWeb - 5.0.2.03300 - 2011.01.03 - -
eSafe - 7.0.17.0 - 2011.01.02 - -
eTrust-Vet - 36.1.8078 - 2011.01.03 - -
F-Prot - 4.6.2.117 - 2011.01.02 - -
F-Secure - 9.0.16160.0 - 2011.01.03 - -
Fortinet - 4.2.254.0 - 2011.01.03 - -
GData - 21 - 2011.01.03 - -
Ikarus - T3.1.1.90.0 - 2011.01.03 - -
Jiangmin - 13.0.900 - 2011.01.03 - -
K7AntiVirus - 9.75.3423 - 2011.01.03 - -
Kaspersky - 7.0.0.125 - 2011.01.03 - -
McAfee - 5.400.0.1158 - 2011.01.03 - -
McAfee-GW-Edition - 2010.1C - 2011.01.03 - -
Microsoft - 1.6402 - 2011.01.03 - -
NOD32 - 5757 - 2011.01.03 - -
Norman - 6.06.12 - 2011.01.03 - -
nProtect - 2011-01-03.01 - 2011.01.03 - -
Panda - 10.0.2.7 - 2011.01.03 - -
PCTools - 7.0.3.5 - 2011.01.03 - -
Prevx - 3.0 - 2011.01.03 - -
Rising - 22.80.04.04 - 2010.12.31 - -
Sophos - 4.60.0 - 2011.01.03 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.01.03 - -
Symantec - 20101.3.0.103 - 2011.01.03 - -
TheHacker - 6.7.0.1.110 - 2011.01.03 - -
TrendMicro - 9.120.0.1004 - 2011.01.03 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2011.01.03 - -
VBA32 - 3.12.14.2 - 2011.01.03 - -
VIPRE - 7938 - 2011.01.03 - -
ViRobot - 2011.1.3.4234 - 2011.01.03 - -
VirusBuster - 13.6.125.0 - 2011.01.03 - -
File info:
MD5: 9da27e1906e3bf798a9cbe40d4e029e4
SHA1: 748ccf0f144c089cfa768ac2b9ba752d1e039076
SHA256: 5c5a0258095eff2590cd102e5038948f466c50d7fb1cba2bca42be91244367e3
File size: 427218 bytes
Scan date: 2011-01-03 18:08:23 (UTC)

Feliz 2011 :)
Última edición por TheSur el 03 Ene 2011, 23:53, editado 1 vez en total
#258835 por TheSur
03 Ene 2011, 21:48
Una curiosidad, mucha gente me pregunta porque el nombre de 'Prablinha'. Todo salio del segundo 0:12 de este video, [ Debe registrarse para ver este enlace ]

Muy divertido, lo recomiendo. Ahora que todo compila correctamente... me voy de fiesta con dimitri ;)
#258906 por TheSur
04 Ene 2011, 16:50
¡Vaya!, que error más tonto. Se me olvidó adjuntar el código al zip, y eso que es en lo que más colaboración necesito... Uhggg... Acabo de actualizar el zip, el link de descarga sigue siendo el mismo, y ya incorpora los codigos PHP.

¡Gracias por el aviso!
#258909 por kalimoro
04 Ene 2011, 16:57
TheSur escribió:¡Vaya!, que error más tonto. Se me olvidó adjuntar el código al zip, y eso que es en lo que más colaboración necesito... Uhggg... Acabo de actualizar el zip, el link de descarga sigue siendo el mismo, y ya incorpora los codigos PHP.

¡Gracias por el aviso!


No pasa nada, suele pasar xD
A mi aveces también me pasa, y no solo una vez, si no que subo los archivos 3 veces xD
Saludos :drinking:
#258919 por TheSur
04 Ene 2011, 18:00
Algunas de las cosas que están por hacer (TODO), las pongo aquí, por si las ideas le gustan a alguien y le da por desarrollar el modulo para la próxima versión (Ya sabeis, podeis colaborar! hah).

- Infección de pendrives.
- Creación de una 'dropzone' en el panel de control, en donde los zombies puedan subir información (Ejpl: ficheros con passwords locales, pulsaciones de teclado, cuentas bancarias...).
- Keylogger (Es necesario realizar previamente la 'dropzone').
- Detección del ancho de banda (subida y bajada) del zombie, y enviar la información al panel de control.
- Implementación de los ataques de 'evilgrade' para la infección de los equipos que estén en la red local.

¿Quién está conectado?

Usuarios navegando por este Foro: viote y 10 invitados