PANEL HERMES. BOTNET DE ATAQUE POR FUERZA BRUTA DISTRIBUIDA

La botnet Hermes ha sido diseñada para tratar de descubrir las credenciales de acceso a los servidores u otros servicios mediante ataque por fuerza bruta.

Nos encontramos ante una botnet con un panel de Control casi idéntico al empleado por el troyano ZEUS pero con funcionalidades diferentes.

Para ello utiliza los usuarios zombies infectados por el troyano como vectores de ataque para repartir el proceso de trabajo entre ellos y que cada ordenador infectado realice múltiples intentos de autenticación contra la máquina destino. Así pues tenemos una herramienta de Fuerza Bruta Distribuida.

Este es el Panel de Control de la Botnet Hermes:

Cuando mayor número de equipos comprometidos controle el panel de Control mayor será la potencia del ataque por Fuerza Bruta, lanzando miles de intentos de autenticación desde diferentes IP. Además de confundir los sistemas de seguridad del Host atacado al participar en el incidente una gran variedad de máquinas desde IP’s diferentes simultáneamente lo que dificultara el bloqueo de estas IP’s al ser bastante complicado contabilizar las peticiones continuadas desde la misma IP como incidente de fuerza bruta.

En el menu de configuración del Panel se indica la lista de passwords que se va a emplear para el ataque por fuerza bruta.

En la opción Import del Menu se selecciona la máquina objetivo contra la que se va a realizar el ataque por fuerza bruta distribuida y el nombre del fichero que previamente se habrá subido al Panel de Control con una lista de nombres de usuarios contra los que se va a lanzar el par de combinaciones usuario / contraseña de intentos de autenticación contra dicho Host.

En el Panel Hermes que se ha analizado se observa como han empleado para realizar pruebas ficheros con los rangos de direcciones IP de máquinas activas que están alojadas en los proveedores de USA , Dreamhost y Godaddy . Así como los ficheros conteniendo la lista de usuarios para el ataque.

Estos archivos de usuarios contenían listas de nombres de personas de prueba.

Si observamos el panel de seguimiento de las pruebas realizadas vemos que han realizado miles de peticiones contra direcciones de Godaddy para probar el Panel HERMES.

Así pues el día 5-12-2012 realizaron 513.000 intentos de autenticación de fuerza bruta contra direcciones de Godaddy a las 18:15. 410.000 intentos de autenticación de fuerza bruta a las 21:15. 481.460 intentos de autenticación de fuerza bruta a las 22:44  ……… etc ….