BYOB – Construya su propia botnet

Share this…

Software para realizar pruebas bajo autorización o para propósitos estrictamente académicos

BYOB es un proyecto de código abierto que proporciona un marco para que los investigadores y expertos en hacking ético construyan y operen una botnet básica para profundizar su comprensión del sofisticado malware que infecta a millones de dispositivos cada año y genera botnets modernas para mejorar su capacidad de desarrollar herramientas contra estas amenazas.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, BYOB está diseñado para permitir que los desarrolladores implementen fácilmente su propio código y agreguen nuevas funciones sin tener que escribir una RAT (herramienta de acceso remoto) o un C2 (servidor de comando y control) desde cero.

La característica clave del RAT es que los códigos o archivos arbitrarios pueden cargarse de forma remota en la memoria desde el C2 y ejecutarse en la máquina receptora sin escribir nada en el disco.

Cliente

Genere clientes totalmente indetectables con cargas útiles por etapas, importaciones remotas y módulos ilimitados posteriores a la explotación.

  • Importaciones remotas: importe de forma remota paquetes de terceros desde el servidor sin escribirlos en el disco ni descargarlos o instalarlos
  • Nada escrito en el disco: los clientes nunca escriben nada en el disco, ni siquiera archivos temporales porque las importaciones remotas permiten que se cargue dinámicamente código arbitrario en la memoria e importarlo directamente en el proceso actual
  • Cero dependencias (ni siquiera Python): el cliente se ejecuta sólo con la biblioteca estándar de Python, importe de forma remota cualquier paquete no estándar del servidor y puede compilarse con un intérprete de Python, lo que le permite ejecutarse en cualquier cosa, incluso cuando Python no se encuentra en el host de destino
  • Agregue nuevas funciones con 1 clic: cualquier script, módulo o paquete de Python que copie en el directorio./byob/modules/ se convierte automáticamente en importable de forma remota
  • Escriba sus propios módulos: se proporciona una plantilla de módulo básico en el directorio ./byob/modules/ para que escribir sus propios módulos sea un proceso sin complicaciones
  • Ejecute módulos ilimitados sin aumentar el tamaño del archivo: use importaciones remotas para agregar funciones ilimitadas sin agregar un solo byte al tamaño del archivo del cliente
  • Totalmente actualizable: cada cliente verificará periódicamente el servidor para ver si hay nuevo contenido disponible para la importación remota, y actualizará dinámicamente sus recursos en memoria si se ha agregado o eliminado algo

Módulos

Módulos posteriores a la explotación que los clientes pueden importar de forma remota.

  • Keylogger (byob.modules.keylogger): Registra las pulsaciones del usuario y el nombre de la ventana ingresado
  • Screenshot (byob.modules.screenshot): Toma una captura de pantalla del escritorio del usuario
  • Webcam (byob.modules.webcam): Inicia una transmisión en vivo o captura imágenes o video de la cámara web
  • Ransom (byob.modules.ransom): Encripta archivos y genera una cartera en línea Bitcoin para el pago del rescate
  • Outlook (byob.modules.outlook): Lee, busca y carga emails desde el cliente de Outlook local
  • Teléfono (byob.modules.phone): Lee, busca y carga mensajes de texto desde el teléfono inteligente del cliente
  • Escalada de privilegios (byob.modules.escalate): Intenta omisión de UAC para obtener privilegios de administrador no autorizados
  • Escáner de puertos (byob.modules.portscanner): escanea la red local en busca de otros dispositivos en línea y puertos abiertos

Núcleo

Módulos del framework utilizados por el generador y el servidor.

  • Utilidades (byob.core.util): Varias funciones de utilidad que son utilizadas por muchos módulos
  • Seguridad (byob.core.security): Modos de cifrado Diffie-Hellman IKE y 3 (AES-256-OCB, AES-256-CBC, XOR-128)
  • Cargadores (byob.core.loaders): Importa de forma remota cualquier paquete/módulo/scripts desde el servidor
  • Payloads (byob.core.payloads): Shell TCP inverso diseñado para importar de forma remota dependencias, paquetes y módulos
  • Stagers (byob.core.stagers): genera stagers de carga útil únicos para evitar el análisis y la detección
  • Generadores (byob.core.generators): funciones que generan código de forma dinámica para el generador del cliente.Base de datos (byob.core.database): maneja la interacción entre el servidor de comando y control y la base de datos

Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética consideran que herramientas como BYOB pueden resultar útiles para entender el comportamiento de las botnets y, de este modo, estar mejor preparado ante un posible ataque.