Danger BotNet

Pastinya semua sudah tau apa itu BotNet! Klo belum tau ni gw kasi clue dah..
BotNet merupakan sebuah zombie penggerak system yang bisa digunakan untuk keperluan DDOS, Logging, Recover, dsb.
Dan untuk saat ini, BinusHacker Team mencoba dan meneliti beberapa project BotNet yang bisa sangat berbahaya. BotNet terdiri dari masing² platform yang harus secompatible mungkin untuk bisa berjalan dengan baik pada masing² OS. Misalkan untuk Windows dan Unix* yang sekarang banyak digunakan.
BotNet Trojan

Kalau sebuah system sudah terkena BotNet Trojan, maka komputer tersebut akan mengirimkan beberapa Informasi log dari system. Dimana kita juga bisa mengontrol komputer target. Apabila dalam sebuah Windows Server maka kita bisa menggunakan Remote Desktop untuk bisa mengaksesnya. Dan apabila pada unix maka kita bisa mengambil logging password root. Kemudian kita bisa menggunakan remote login dari hak akses root.
BotNet biasanya dibangun menggunakan MBR (master boot record). Sebuah rootkit yang dilaksanakan pada waktu boot, sebelum sistem operasi dibuka. Setelah mesin terinfeksi, maka hasil panen malware dan upload data dalam 20 menit akan dikirimkan. Data yang dicuri termasuk e-mail account, Windows / Unix password, dan FTP credentials POP / SMTP account, Control Panel, dll.
Adapun contoh hasil dari traced pengiriman email dari BotNet:

Hasil dari informasi akan diterima dan direport dalam Computer Server Attacker, sehingga Informasi yang masuk bisa disimpan dan dimanipulasi.

Bagaimana hal tersebut bisa terjadi, buat semua orang berhati hatilah karena saat ini begitu banyak cara untuk mendapatkan Informasi. Dan yang paling berbahaya apabila ada Account Privacy anda ada didalam sana. Misalkan Paypal, LR, Atau Bank Account Yang ada di Email Anda. Sungguh sangat berbahaya!

Berikut ini hanyalah contoh sebuah email account yg bisa kita ambil, dimana disana kita bisa backdoor, recover password dan sebagainya, bisa anda bayangkan sendiri:

Contoh Control Panel Information sebuah website yang bisa didapat:

Cpanel Username: fh_609986 Cpanel Password: loft1234 FTP Server : <span class="linkification-ext">ftp.***host.org</span> FTP Login : fh_609986 FTP Password : loft1234 MySQL Database Name: MUST CREATE IN CPANEL MySQL Username : fh_609986 MySQL Password : loft1234 MySQL Server: SEE THE CPANEL POP3 Server : mail.***host.org POP3 Username : fh_609986

1 2 3 4 5 6 7 8 9 10 11 12 13

Cpanel Username:        fh_609986                   Cpanel Password:        loft1234                   FTP Server :            <span class="linkification-ext">ftp.***host.org</span>                   FTP Login :             fh_609986                   FTP Password :          loft1234                   MySQL Database Name:    MUST CREATE IN CPANEL                   MySQL Username :        fh_609986                   MySQL Password :        loft1234                   MySQL Server:           SEE THE CPANEL                   POP3 Server : mail.***host.org                   POP3 Username : fh_609986

Contoh FTP Account yang diterima dari BotNet Zombie sebagai berikut:

FTP Server: ***.**host.com FTP Login: ***.**host.com FTP Password: l1nuxus3r E-mail Account Information: E-mail accounts that you add: POP3/IMAP Host Address: (depends on hostname you use for the e-mail account, i.e your domain or subdomain). SMTP Host Address: (check if you have this option enabled)

1 2 3 4 5 6 7 8

FTP Server:     ***.**host.com FTP Login:     ***.**host.com FTP Password:     l1nuxus3r E-mail Account Information: E-mail accounts that you add: POP3/IMAP Host Address: (depends on hostname you use for the e-mail account, i.e your domain or subdomain). SMTP Host Address: (check if you have this option enabled)

Berikut logging aktifitas dalam system ketika DDOS berjalan:

A frequent visitor sent me the following table: Port Protocol Keyword D e s c r i p t i o n 1 tcp tcpmux TCP Port Multiplexer 1 udp SocketsdesTroie [trojan] Sockets Troie 1 udp tcpmux TCP Port Multiplexer 2 tcp compressnet Management Utility 2 tcp Death [trojan] Death 2 udp compressnet Management Utility 3 tcp compressnet Compression Process 3 udp compressnet Compression Process 5 tcp rje Remote Job Entry 5 udp rje Remote Job Entry 7 tcp echo Echo 9 tcp discard Discard 11 tcp systat Active Users 11 udp systat Active Users 13 tcp daytime Daytime 13 udp daytime Daytime 15 tcp netstat Netstat 15 tcp B2 [trojan] B2 17 tcp qo TDQuote of the Day 17 udp qo TDQuote of the Day 18 tcp msp Message Send Protocol 18 udp msp Message Send Protocol 19 tcp chargen Character Generator 19 udp chargen Character Generator 20 tcp ftp-data File Transfer 20 udp ftp-data File Transfer 20 tcp SennaSpyFTPserver [trojan] Senna Spy FTP 21 tcp ftp File Transfer [Control] 21 udp ftp File Transfer [Control] 21 tcp BackConstruction [trojan] Back Construction 21 tcp BladeRunner [trojan] BladeRunner 21 tcp CCInvader [trojan] CC Invader 21 tcp DarkFTP [trojan] Dark FTP 21 tcp DolyTrojan [trojan] Doly Trojan 21 tcp Fore [trojan] Fore 21 tcp InvisibleFTP [trojan] Invisible FTP 21 tcp Juggernaut42 [trojan] Juggernaut 42 21 tcp Larva [trojan] Larva 21 tcp MotIvFTP [trojan] MotIv FTP 21 tcp NetAdministrator [trojan] Net Administrator

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

A frequent visitor sent me the following table:      Port  Protocol    Keyword                  D e s c r i p t i o n      1     tcp         tcpmux                   TCP Port Multiplexer      1     udp         SocketsdesTroie          [trojan] Sockets Troie      1     udp         tcpmux                   TCP Port Multiplexer      2     tcp         compressnet              Management Utility      2     tcp         Death                    [trojan] Death      2     udp         compressnet              Management Utility      3     tcp         compressnet              Compression Process      3     udp         compressnet              Compression Process      5     tcp         rje                      Remote Job Entry      5     udp         rje                      Remote Job Entry      7     tcp         echo                     Echo      9     tcp         discard                  Discard     11     tcp         systat                   Active Users     11     udp         systat                   Active Users     13     tcp         daytime                  Daytime     13     udp         daytime                  Daytime     15     tcp         netstat                  Netstat     15     tcp         B2                       [trojan] B2     17     tcp         qo                       TDQuote of the Day     17     udp         qo                       TDQuote of the Day     18     tcp         msp                      Message Send Protocol     18     udp         msp                      Message Send Protocol     19     tcp         chargen                  Character Generator     19     udp         chargen                  Character Generator     20     tcp         ftp-data                 File Transfer     20     udp         ftp-data                 File Transfer     20     tcp         SennaSpyFTPserver        [trojan] Senna Spy FTP     21     tcp         ftp                      File Transfer [Control]     21     udp         ftp                      File Transfer [Control]     21     tcp         BackConstruction         [trojan] Back Construction     21     tcp         BladeRunner              [trojan] BladeRunner     21     tcp         CCInvader                [trojan] CC Invader     21     tcp         DarkFTP                  [trojan] Dark FTP     21     tcp         DolyTrojan               [trojan] Doly Trojan     21     tcp         Fore                     [trojan] Fore     21     tcp         InvisibleFTP             [trojan] Invisible FTP     21     tcp         Juggernaut42             [trojan] Juggernaut 42     21     tcp         Larva                    [trojan] Larva     21     tcp         MotIvFTP                 [trojan] MotIv FTP     21     tcp         NetAdministrator         [trojan] Net Administrator

Yang Paling Berbahaya, Informasi Yang Diperoleh Dari BotNet adalah terdapat dan bisa di extractnya 1660 unit kartu kredit dan kartu debit dari kumpulan data yang diterima. Geolocation melalui alamat IP, dipastikan bahwa 49% dari nomor kartu berasal dari korban di AS, 12% dari Italia, dan 8% dari Spanyol, dengan 40 negara-negara lain. Yang paling umum termasuk kartu Visa (1056), MasterCard (447), American Express (81), Maestro (36), dan yang lainnya termasuk Bank Account, dsb (24). Yang menarik disana adalah bahwa 80% dari kartu kredit tersebut adalah kartu yang terdapat dalam database yang biasanya digunakan untuk processing online order.

Jadi jika anda memiliki komputer dan berselancar di internet, berhati²lah dengan spyware, malware, dan BotNet zombie yang sangat berbahaya bagi Privacy Anda terutama menyangkut Data diri, Email, Login, Password, Username, dsb. Sebaiknya anda melakukan check log + memperhatikan proses yang sedang berjalan pada komputer Anda. Jika ada yang mencurigakan segera beri tindakan. Jika anda sudah mendapatkankan info ini, diharapkan anda bisa share ke yang lainnya dan anda bisa menghindari resiko yang akan timbul.

Tweet