Existen dos versiones de la botnet Athenea, una basada en el IRC y otra más nueva basada en web, es decir con un panel de control que se controla vía navegador. Esta botnet que tuvo su gran auge en el año 2013 incluye numerosos ataques de denegación de servicios (Denial of Service).





La familia de malware Athena ha existido desde hace bastante tiempo y la versión original fue basada en IRC, pero desde principios  del 2014 existe una versión basada en HTTP que usa PHP y MySQL.

Aunque no es tan frecuente como otras familias de malware, Athena ha tenido una fuerte presencia desde hace bastante tiempo. Esta entrada de blog se verá básicamente sus capacidades DDoS, no cómo constuir la botnet.

La botnet Athenea cuenta con dos módulos, uno que es el panel de control vía HTTP y otro es el packer ( (con upx) (Builder) que crea el ejecutable para infectar los ordenadores y poderlos controlar después con el panel de control.

Vocabulario

Familia de bots – conjunto de bots que tienen un código fuente similar, es decir, son diferentes versiones o variantes de un mismo bot. Sus servidores de administración pueden ser diferentes.

Botnet – conjunto de dispositivos infectados por el mismo bot y que tienen el mismo servidor de administración. Los delincuentes informáticos difunden con anticipación en Internet programas maliciosos especiales que convierten a los servidores, ordenadores o dispositivos móviles en “zombies” a control remoto (i.e. bots).

Servidor C&C (command & and control) (de administración) – es el servidor mediante el cual los delincuentes envían instrucciones a sus bots y donde reciben sus respuestas. En el caso de los ataques DDoS, los bots, al recibir una orden de los delincuentes, envían solicitudes al recurso de la víctima de forma directa o mediante terceros servidores, es decir, realizan un “ataque distribuído”.

SYN-DDoS – es el conjunto de escenarios de ataques DDoS que explotan las peculiaridades de la realización del protocolo TCP (Transmission Control Protocol, protocolo de control de transmisión). El establecimiento de una conexión TCP transcurre en tres etapas, que recuerdan el proceso de dar un apretón de manos: El cliente envía un paquete con la bandera SYN. El servidor, al recibir el paquete SYN, responde con un paquete con encabezados SYN y ACK. Después, el cliente envía un paquete ACK, con lo que confirma la conexión. Durante el proceso de SYN-flood el atacante envía un paquete con la bandera SYN, pero no exige un paquete de respuesta con las banderas SYN+ACK para establecer la conexión, lo que obliga al servidor de la víctima a gastar recursos en el procesamiento de estas solicitudes y el envío de paquetes de respuesta.

TCP-DDoS – es el conjunto de escenarios de ataques que de la misma manera que SYN-flood, explotan las peculiaridades de la realización del protocolo TCP, pero al mismo tiempo establecen conexión con el servidor de la víctima. En los ataques de tipo TCP-flood, después de la realización del procedimiento del “apretón de manos” (handshake), la parte atacante envía datos “basura” de gran tamaño y de una forma muy lenta por la conexión establecida. Esto recarga el servidor y no le permite dar recursos a las conexiones legítimas.

ICMP-DDoS – conjunto de escenarios de ataques por el protocolo ICMP (Internet Control Message Protocol), que se usa para transmitir mensajes de error y otras situaciones de excepción que surjan durante la transmisión de datos. En caso de ataque, el delincuente envía una gran cantidad de solicitudes ICMP al servidor de la víctima, para provocar que gaste recursos en el procesamiento de solicitudes “basura”, en vez de procesar las legítimas.

UDP-DDoS – conjunto de escenarios de ataque que usan el protocolo UDP, que no exige el establecimiento de conexiones (User Datagram Protocol, protocolo de datagramas del usuario). El atacante envía al servidor de la víctima numerosos paquetes UDP, cada uno de los cuales requiere procesamiento por parte del servidor y su hardware de comunicación, lo que causa recargas en los recursos de procesamiento de la víctima.

HTTP-DDoS - todos los escenarios de ataques DDoS cuyo objeto son las aplicaciones web. Durante el proceso de realización de los ataques el delincuente puede realizar tanto solicitudes GET/POST simples a la página principal de la aplicación web, como solicitudes atípicas (buscar cierta información en la base de datos de la aplicación web, ejecutar determinados scripts en el servidor web, etc.). Además, en el cuerpo de la solicitud se pueden poner encabezados o ficheros cookie para evadir los filtros que determinan a un usuario legítimo por la presencia de cookies. También, el atacante puede abrir el navegador en el equipo infectado para simular la actividad de un visitante común del sitio web y no dejar que los sistemas de protección instalados detecten los bots en el flujo general de visitantes.


Ejemplo de una orden de la botnet Athena con la petición (URL) lógicamente ofuscada:

Otro ejemplo más:


Los ataques realizan como se anuncia, pero, a diferencia de otras botnets de DDoS, sólo se puede lanzar un ataque a la vez. Esto limita severamente su capacidad de competir en los ataques DDoS a sueldo como otras botnets como Madness, Drive y DirtJumper (2011-2012).

El malware Dirt Jumper (variantes Pandora) se cree que fue creado por una persona de habla rusa presuntamente conocido como "Sokol", puede costar tan poco como $ 150 en el mercado negro, según el proveedor de mitigación de DDoS Prolexic.

Algunas nuevas versión descubierta por el equipo ASERT de Arbor cuenta con otros tres ataques, además de un denominada ataque "-Smart (inteligentes)" que sniffa el tráfica  y  hace un bypass de las cookies usadas en defensas DDoS.

 El módulo de ataque "-Smart" detecta y engaña las cookies contra-DDoS, métodos de redirección y metatags utilizados para redirigir el tráfico IP maliciosa.

El ataque, básicamente, busca una "Set-Cookie" o una cabecera  "Location"  y "va a analizar a cabo tanto el valor de la cookie como la  una nueva ubicación URL utilizan y esos valores en el próximo paquete que se envía. También buscará una refreshtag equiv meta, ubicación = o document.location.href interior de la respuesta del servidor ".

El panel de control de los ataques DDoS incluye hasta 10 tipos diferentes de ataques DDoS.

SYN-DDoS y HTTP-DDoS fueron los escenarios de ataques DDoS mediante botnets más propagados en el primer trimestre del 2015

DDoS Panel:

Details:

This page is dedicated to the creation of DDoS attacks. Athena Bot supports 10 different kinds of DDoS(2 Layer4, 8 Layer7).

Additional Information:

-You can run Browser-Based attacks concurrently with non-Browser-Based attacks.
-When filling out the DDoS Panel form, make sure you fill it out properly. Improper filling of the form will result in a non-functional attack.
-Pay attention to the amount of busy/free bots. Better awareness of those statistics make coordination of attacks easier.

Attack Types:

Layer 7(Application layer floods)...

• Slowloris: Attacks a target webserver with many concurrent connections
• Rapid HTTP GET: Sends mass amounts of randomized and realistic GET packets to a given target
• RUDY(r-u-dead-yet): Slowly posts content by the masses to a target webserver
• Rapid HTTP POST: Sends mass amounts of randomized and realistic POST packets to a given target
• Slow HTTP POST: Holds many concurrent connections to a webserver through POST methods
• ARME(Apache Remote Memory Exhaustion): Abuses partial content headers in order to harm a target webserver
• Bandwith: This is a download based flood targetted torwards larger files and downloadable content on websites

Gráfico ataques basados en HTTP:

Layer 4(Transport Layer floods)...

• UDP: Sends mass amounts of packets containing random data to a target host/ip
• ECF(Established Connection Flood): Floods a target with rapid connections and disconnections (Also known as SSYN in other software)

Fuente:
https://asert.arbornetworks.com/athena-a-ddos-malware-odyssey/


Commands/Features:

DDoS Commands

[Port 80 is most common for websites]

• !udp - Sends mass amounts of random packets to target host/ip, perfect for home connections(SYNTAX: !udp host/ip port time)[Use '0' to flood random ports]
• !httpget - Rapidly sends hundreds of HTTP GET requests every second from each bot(SYNTAX: !httpget website.com/directory/index.php port time)[a specific directory/file is optional]
• !httppost - Makes hundreds of HTTP POST requests from each bot, and holds connection by slowly posting content(SYNTAX: !httppost host/ip port time)
• !slowloris - Connects to a webserver through several hundred sockets per bot, and sits on it.(SYNTAX: !slowloris website.com/directory/index.php port time)[a specific directory/file is optional]
• !arme - Exploits a vulnerability in Apache that crashes servers though many bulk partial headers requests at once causing a lot of memory to swap to the remote filesystem. Not all websites are vulnerable to this but the ones that are crash hard.(SYNTAX: !arme website.com/directory/index.php port time)[a specific directory/file is optional]
• !condis - Rapid connect/disconnect flood, it takes down gaming(ie. CSS) and teamspeak/VoiP servers like gravy(SYNTAX: !condis host/ip port time)

Ejemplos ataques DDoS  Botnet Agobot

Agobot/Phatbot/Forbot/XtremBot

DDoS algo

• Agobot
  • ddos.stop
    stops all floods
  • ddos.phatwonk [host] [time] [delay]
    starts leet flood
    
    Starts a SYN-flood on ports 21,22,23,25,53,80,81,88,
          110,113,119,135,137,139,143,443,445,1024,1025,1433,
          1500,1720,3306,3389,5000,6667,8000,8080
                           
  • ddos.phatsyn [host] [time] [delay] [port]
    starts syn flood
  • ddos.phaticmp [host] [time] [delay]
    starts icmp flood
  • ddos.synflood [host] [time] [delay] [port]
    starts an SYN flood
  • ddos.updflood [host] [port] [time] [delay]
    start a UDP flood
  • ddos.targa3 [host] [time] start a targa3 flood
    
          Implements the well known DDoS attack Mixter authored in 1999.
    
          /*
          * targa3 - 1999 (c) Mixter
          *
          * IP stack penetration tool / 'exploit generator'
          * Sends combinations of uncommon IP packets to hosts
          * to generate attacks using invalid fragmentation, protocol,
          * packet size, header values, options, offsets, tcp segments,
          * routing flags, and other unknown/unexpected packet values.
          * Useful for testing IP stacks, routers, firewalls, NIDS,
          * etc. for stability and reactions to unexpected packets.
          * Some of these packets might not pass through routers with
          * filtering enabled - tests with source and destination host
          * on the same ethernet segment gives best effects.
          */
          taken from
              http://packetstormsecurity.org/DoS/targa3.c
    
    
  • ddos.httpflood [url] [number] [referrer] [recursive = true||false]
    starts a HTTP flood
          This is real nasty since it fetches websites from a webserver.
          If "recursive" is set, the bot parses the replies and follows
          links recursively.
• SDBot
  • syn [ip] [port] [seconds|amount] [sip] [sport] [rand] (sdbot 05b pure version)
  • udp [host] [num] [size] [delay] [[port]]size (sdbot 05b ago version)
  • ping [host] [num] [size] [delay]num
• UrXbot
  • ddos.(syn|ack|random) [ip] [port] [length]
  • (syn|synflood) [ip] [port] [length]
  • (udp|udpflood|u) [host] [num][ [size] [delay] [[port]]
  • (tcp|tcpflood) (syn|ack|random) [ip] [port] [time]
  • (ping|pingflood|p) [host] [num][ [size] [delay]
  • (icmpflood|icmp) [ip] [time]
  • ddos.stop
  • synstop
  • pingstop
  • udpstop

Fuentes:
https://www.honeynet.org/book/export/html/50
http://www.viruslist.com/sp/weblog?weblogid=208189076