Esta misma mañana también hice un llamamiento a colaboradores (Aprobecho para volver a hacerlo), si algún usuario quiere formar parte del proyecto y desarrollar algun modulo o funcionalidad, ya sea en el zombie (C#), en el generador (C#) o en el panel de control (PHP+MySQL), es bienvenido, no tiene más que enviarte un PM o contacter conmigo en mi dirección de correo. Me ha llevado mucho tiempo y dedicación llevar este proyecto , y ahora publico el código fuente de la aplicación con la finalidad de compartir, por lo que lo unico que pido, es que si usas esta aplicación para la generación de una botnet, me dejes un 'feedback' de cual ha sido tu impresión, y me reportes fallos o posibles mejoras, y si quieres colaborar conmigo mejor que mejor, que necesito un descanso .
En cuanto a las condiciones de uso, realmente me la suda que te crees una botnet de X mil zombies y andes jugando a tirar servidores, tanto la generación del zombie, el despliegue del mismo o la realización de actividades ilegales es responsabilidad tuya.
=== DESCRIPCIÓN ===
Prablinha 3.0RC
Toolkit de generación de botnets OpenSource. Permite la generación de zombies configurados.
Caracteristicas principales:
- Comunicación con los zombies a través de un panel web.
- Permite la comunicación cifrada con los zombies (SSL).
- Los zombies informan de su geolocalización IP al dueño de la botnet.
- Posibilidad de realizar ataques de denegación de servicio TCP, UDP y HTTP.
=== MANUAL DE USUARIO ===
• Creación y administración del panel de control
El panel de control se trata de una aplicación en PHP que hace uso de una base de datos MySQL.
Tras copiar los ficheros del servidor web en un servidor con soporte PHP, será necesario editar el fichero /inc/config.php e introducir el servidor de base de datos MySQL, unas credenciales válidas y la base de datos sobre la que trabajará la aplicación para gestionar el control de los zombies.
Una vez configurado, será necesario crear la base de datos. Para ello será necesario cargar el script ‘db.sql’ adjunto en el proyecto, el cual creará la estructura de tablas necesarias. Esto puede ser realizado con aplicaciones como ‘HeidiSQL’ o ‘PhpMyAdmin’ entre otras.
Una vez ejecutado el script podremos acceder a nuestro panel de administración de zombies. Las credenciales de acceso por defecto son thesur\thesur. Pueden ser cambiadas desde la tabla ‘usuarios’ de la base de datos.
Una vez dentro, si hemos realizado la infección de algún equipo, visualizaremos un panel que nos informará de la lista de zombies conectados ordenados por cada país.
Si hacemos clic sobre ‘Ver opciones’ podremos ver una lista detallada de la información de cada zombie en cada país. A continuación se muestra una captura de pantalla en donde se ven los datos correspondientes a los zombies localizados en España.
En el menú superior localizado en la parte superior izquierda están disponibles las distintas formas de dar ordenes a los zombies. ‘OnRuntime’ y ‘OnJoin’.
Las ordenes ‘OnRuntime’ son enviadas a todos los zombies conectados en ese mismo momento a la botnet. Sin embargo, las ordenes ‘OnJoin’ son ejecutadas automáticamente por los zombies cada vez que estos se conecten a la botnet.
Si accedemos a cualquiera de las dos opciones, veremos un menú similar al siguiente:
Desde aquí se pueden llevar a cabo los ataques de denegación de servicio mediante conexiones TCP (Ejpl: Para tumbar un servicio SMTP), UDP (Ejpl: Consumir el ancho de banda de una servidor), o HTTP (Ejpl: Consumir el máximo de sockets permitidos por un servidor web).
El número de sockets indica el número de conexiones concurrentes que mantendrá cada zombie contra el servidor, y ‘kb/s por socket’ indica el tamaño de cada paquete enviado por cada socket en kilobytes.
• Creación del zombie
Para la creación y configuración de un zombie con el que llevar a cabo la infección de equipos, es necesario la aplicación C&C.exe y hacer clic en ‘ADN’. Indicar en el cuadro de texto el ADN que se utilizará para la generación del zombie y hacer clic en el botón ‘Siguiente’.
A continuación se comentan cada uno de los distintos parámetros:
1. Regedit Name: Nombre de la clave de registro utilizada para la ejecución del zombie en cada inicio del sistema.
2. Install Name: Nombre con el que se copiará el zombie en disco (Ubicación %userfolder%/AppData/Local/[InstallName]). El zombie ejecutará el loader en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este campo un nombre de un proceso existente (Ejpl: No introducir ‘explorer.exe’)
3. Loader name: Nombre con el que se copiará en disco el loader en disco (Ubicación %userfolder%/AppData/Local/[LoaderName]). El loader ejecutará el zombie en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este campo un nombre de un proceso existente (Ejpl: No introducir ‘explorer.exe’)
4. C&C Panel (URL): El directorio donde hemos instalado nuestro panel de administración (Ejpl: [Enlace externo eliminado para invitados]). Es posible utilizar tanto HTTP como HTTPS para cifrar los datos y evitar la detección de posibles ID’S en la red.
Finalmente, hacer clic en ‘GENERAR’. Una vez finalizado se creará un ejecutable con el nombre ‘Zombie_X.exe’, el cual está listo para ser desplegado y para comenzar a crear nuestra botnet.
Adicionalmente, recomiendo que una vez se haya generado el zombie, se le apliquen técnicas de ofuscación para sus métodos y atributos. Esto puede realizarse con la aplicación gratuita ‘EazFuscator.NET’.
=== CHANGELOG===
3.0RC
C&C
- Migración del antiguo panel de control (aplicación de escritorio) a una aplicación web (PHP+MySQL).
- Añadido UDP DDoS y HTTP DDoS.
ZOMBIE
- Migración de comunicación por IRC a HTTP o HTTPS
- Añadido UDP DDoS y HTTP DDoS.
- De nuevo indetectable :)
2.1
C&C
- Interfaz simplificada (Y generación del manual de usuario)
2.0
C&C
- Generador de zombies con su propia configuracion
ZOMBIE
- loader y prablinha ""NO"" se cierran al detectar el taskmanager, processmonitor
1.1
C&C
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- visualizacion de la lista de zombies y su geolocalizacion.
- añadido el comando PRIVMSG, UPDATEZOMBIESINFO y ANSWERONCHANNEL
- soporte multicanal cuando se detectan mas de 100 zombies por canal
ZOMBIE
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- generacion de un nuevo canal cuando se alcanzan los 100 zombies por canal
- deteccion de K-Lines y G-Lines, cambian al servidor alternativo.
- Permite que los zombies respondan por privado en vez de por canal (comando ANSWERONCHANNEL on|off).
- configurable el numero de kbs/s en cada socket en el tcpflood (tcpflood start IP PORT SOCKETS [KBS]).
- el zombie envia geolocalizacion ip al entrar al canal o mediante el comando UPDATEZOMBIESINFO
- infección más persistente. Sobreescritura de los binarios y del registro.
- instalacion de un loader que llama a la prablinha y viceversa cuando esta se ha cerrado.
- loader y prablinha se cierran al detectar el taskmanager, processmonitor o processexplorer
- La conexion a la botnet se realiza en la primera ejecucion
- Añadido el comando UPDATEZOMBIESINFO y ANSWERONCHANNEL
1.0
C&C
- comunicacion encriptada.
ZOMBIE
- Instalacion como CurrentUser (registro)
- comunicacion encriptada.
- tcpflood a IP y puerto, enviando 50kb/s por cada socket (nº de sockets personalizable).
- generación de owners, canal y clave aleatoria cada mes.
- descarga y ejecucion de ficheros.
- ejecucion de ficheros.
- La conexion a la botnet se realiza en su segunda ejecucion (o reinicio del equipo)
=== Información de descarga ===
Página oficial: [Enlace externo eliminado para invitados]
Descarga del codigo fuente y binarios: [Enlace externo eliminado para invitados]
* Requiere el framework .NET
Antivirus results
AhnLab-V3 - 2011.01.02.01 - 2011.01.02 - -
AntiVir - 7.11.1.17 - 2011.01.03 - TR/Dropper.Gen
Antiy-AVL - 2.0.3.7 - 2011.01.03 - -
Avast - 4.8.1351.0 - 2011.01.03 - -
Avast5 - 5.0.677.0 - 2011.01.03 - -
AVG - 9.0.0.851 - 2011.01.03 - -
BitDefender - 7.2 - 2011.01.03 - -
CAT-QuickHeal - 11.00 - 2011.01.03 - -
ClamAV - 0.96.4.0 - 2011.01.03 - -
Command - 5.2.11.5 - 2011.01.02 - -
Comodo - 7286 - 2011.01.03 - -
DrWeb - 5.0.2.03300 - 2011.01.03 - -
eSafe - 7.0.17.0 - 2011.01.02 - -
eTrust-Vet - 36.1.8078 - 2011.01.03 - -
F-Prot - 4.6.2.117 - 2011.01.02 - -
F-Secure - 9.0.16160.0 - 2011.01.03 - -
Fortinet - 4.2.254.0 - 2011.01.03 - -
GData - 21 - 2011.01.03 - -
Ikarus - T3.1.1.90.0 - 2011.01.03 - -
Jiangmin - 13.0.900 - 2011.01.03 - -
K7AntiVirus - 9.75.3423 - 2011.01.03 - -
Kaspersky - 7.0.0.125 - 2011.01.03 - -
McAfee - 5.400.0.1158 - 2011.01.03 - -
McAfee-GW-Edition - 2010.1C - 2011.01.03 - -
Microsoft - 1.6402 - 2011.01.03 - -
NOD32 - 5757 - 2011.01.03 - -
Norman - 6.06.12 - 2011.01.03 - -
nProtect - 2011-01-03.01 - 2011.01.03 - -
Panda - 10.0.2.7 - 2011.01.03 - -
PCTools - 7.0.3.5 - 2011.01.03 - -
Prevx - 3.0 - 2011.01.03 - -
Rising - 22.80.04.04 - 2010.12.31 - -
Sophos - 4.60.0 - 2011.01.03 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.01.03 - -
Symantec - 20101.3.0.103 - 2011.01.03 - -
TheHacker - 6.7.0.1.110 - 2011.01.03 - -
TrendMicro - 9.120.0.1004 - 2011.01.03 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2011.01.03 - -
VBA32 - 3.12.14.2 - 2011.01.03 - -
VIPRE - 7938 - 2011.01.03 - -
ViRobot - 2011.1.3.4234 - 2011.01.03 - -
VirusBuster - 13.6.125.0 - 2011.01.03 - -
File info:
MD5: 9da27e1906e3bf798a9cbe40d4e029e4
SHA1: 748ccf0f144c089cfa768ac2b9ba752d1e039076
SHA256: 5c5a0258095eff2590cd102e5038948f466c50d7fb1cba2bca42be91244367e3
File size: 427218 bytes
Scan date: 2011-01-03 18:08:23 (UTC)
Feliz 2011 :)