jueves, 6 de septiembre de 2012

LetsBoot V1 (Pardooter) Herramienta de ataque por DDOS UDP


LetsBoot V1 es una nueva herramienta de ataque DDOS mediante el envio masivo de paquetes UDP con la fin de colapsar el servidor objetivo del ataque.

Se caracteriza porque no emplea millones de maquinas bots como plataformas zombies para el envio masivo de estos paquetes UDP sino que utiliza una red de servidores webs que han sido comprometidos previamente y manipulados para alojar en sus directorios publicos un Scrips PHP que se va a emplear como vector de ataque para el envio masivo de los paquetes UDP maliciosos.

La ventaja de este sistema es que disponen de servidores que estan operativos continuamente en lugar de maquinas zombies que dependen muchas veces de que el usuario las mantenga encendidas y que no hayan sido limpiados por las aplicaciones antiviricas. Además de poder emplear el ancho de banda de los servidores para el envio masivo de los paquetes de ataque que es muchisimo mayor que el proporcioando por ejemplo por la ADSL que utilizen los equipos zombies.

Hasta el momento solo se ha encontrado una versión beta V1 de esta herramienta DDOS

A la aplicación se accede al menu de acceso mediante la URL:

hxxp://boolbot.org/booter/

Que muestra la siguiente pantalla de login:


 

El dominio boolbot.org está alojado en la IP 178.33.30.17 perteneciente al Proveedor JE-EIGEN-DOMEIN.NL de Holanda.

Tras acceder al Panel de Control muestra la siguiente información:

 

 En la opción BOOT de este panel se solicita la dirección del dominio y el puerto contra el que se quiere lanzar el ataqu , así como la duración del mismo.
 

 

En otra de las opciones se le indica al panel de control la lista de URL’s donde esta alojado el script malicioso para emplearlo como plataforma  de ataque UDP

 

 

Esta lista de direcciones que tienen configuradas como vectores de ataque son las siguientes:

hXXp://84.240.204.69/webdav/Shell.php          

hXXp://66.249.131.118/webdav/Shell.php        

hXXp://213.0.25.119/webdav/Shell.php             

hXXp://208.105.232.221/webdav/sectorx/udp.php      

hXXp://208.105.232.221/webdav/sectorx/udp.php      

hXXp://114.35.29.133/webdav/Shell.php          

hXXp://97.96.208.234/webdav/Shell.php          

hXXp://211.75.225.25/webdav/Shell.php          

hXXp://61.4.68.137/webdav/Shell.php               

hXXp://175.158.191.163/webdav/Shell.php      

hXXp://sexxx.sultryserver.com/udp.php          

hXXp://nightmaxxmm.sultryserver.com/          

hXXp://nightmare.sultryserver.com/   

hXXp://217.128.241.163/webdav/.Dav/Emb.php           

hXXp://thisisforfree.sultryserver.com

hXXp://randshits.sultryserver.com/     

hXXp://46.166.149.108/shell.php

 

La mayoría de estas direcciones están activas y listas para recibir ordenes del Panel de Control.

 

Por ejemplo:

 

 

 

 

El panel de control envía las ordenes de ataque a todos los servidores que tenga configurados en su lista mediante el siguiente comando

 

http://URL_SERVERV/shell.php?act=phptools&host={HOST}&time={TIME}&port={PORT}

 

Donde se indica el dominio y puerto de la máquina que se quiere colapsar, así como la duración del incidente.

 

Se ha logrado recuperar el script PHP que realiza este ataque UDP observándose que tiene un error de concepto en la programación puesto que el Script nunca solicita como parámetro de entrada el puerto, es más lo genera aleatoriamente dentro del código. Por lo tanto es absurdo que se le pase el dato del puerto a la aplicación.

 

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.