Sei sulla pagina 1di 61

BOTNET:InformationWarfare

TheoryandPracticesfrom
theScene
27Marzo 2008
27Marzo2008

BlackSunFactoryResearch Team
BlackSunFactoryResearchTeam

Definizione diVirus
Nell'ambitodell'informaticaunvirus unframmentodisoftware,
appartenenteallacategoriadeimalware,che ingrado,unavoltaeseguito,
diinfettaredeifileinmododariprodursifacendocopiedis stesso,
generalmentesenzafarsirilevaredall'utente.Iviruspossonoessereonon
esseredirettamentedannosiperilsistemaoperativocheliospita,maanche
nelcasomigliorecomportanouncertosprecodirisorseinterminidiRAM,
CPUespaziosuldiscofisso.Comeregolageneralesiassumeche unvirus
possadanneggiaredirettamentesoloilsoftwaredellamacchinacheloospita,
ancheseessopuindirettamenteprovocaredanniancheall'hardware,ad
esempiocausandoilsurriscaldamentodellaCPUmedianteoverclocking,
oppurefermandolaventoladiraffreddamento.
Nell'usocomuneilterminevirusvienefrequentementeusatocome
sinonimodimalware,indicandoquindidivoltainvoltaanchecategoriedi
"infestanti"diverse,comeadesempioworm,trojan odialer.
TrattodaWikipedia:http://it.wikipedia.org/wiki/Virus_(informatica)

27Marzo2008

BlackSunFactoryResearch Team

DefinizionediWorm
Unworm unaparticolarecategoriadimalware ingradodiautoreplicarsi.
simileadunvirus,maadifferenzadiquestononnecessitadilegarsiad
altrieseguibiliperdiffondersi.
Tipicamenteunworm modificailcomputercheinfetta,inmododavenire
eseguitoognivoltachesiavvialamacchinaerimanereattivofinch nonsi
spegneilcomputerononsiarrestailprocessocorrispondente.
Ilmezzopi comuneimpiegatodaiworm perdiffondersi laposta
elettronica:ilprogrammamalignoricercaindirizziemailmemorizzatinel
computerospiteedinviaunacopiadis stessocomefileallegato
(attachment)atuttiopartedegliindirizziche riuscitoaraccogliere.
Questieseguibilimalignipossonoanchesfruttareicircuitidel filesharing
perdiffondersi.Inquestocasosicopianotraifilecondivisidall'utente
vittima,spacciandosiperprogrammiambitiopercrackdiprogrammi
moltocostosioricercati,inmododaindurrealtriutentiascaricarloed
eseguirlo.
Latipologiaforsepi subdoladiworm sfruttadeibug dialcunisoftwareo
sistemioperativi,inmododadiffondersiautomaticamenteatuttii
computervulnerabiliconnessiinrete.

27Marzo2008

BlackSunFactoryResearch Team

DefinizionediTrojan
Untrojan otrojan horse (dall'ingleseperCavallodiTroia), untipodi
malware.Deveilsuonomealfattochelesuefunzionalit sononascoste
all'internodiunprogrammaapparentementeutile; dunquel'utente
stessocheinstallandoedeseguendouncertoprogramma,
inconsapevolmente,installaedesegueancheilcodicetrojan nascosto.
IngenerecoltermineTrojan cisiriferisceaitrojan adaccessoremoto
(dettiancheRATdall'ingleseRemoteAdministrationTool),composti
generalmenteda2file:ilfileserver,chevieneinstallatonellamacchina
vittima,edunfileclient,usatodalpirataperinviareistruzionicheilserver
esegue.Inquestomodo,comeconilmiticostratagemmaadottatoda
Ulisse,lavittima indottaafarentrareilprogrammanellacitt,ossia,
fuordimetafora,adeseguireilprogramma.Esistonoanchealcuni
softwarelegaliconfunzionalit similiaitrojan,machenonsonodeicavalli
diTroiapoich l'utente consapevoledellasituazione.

27Marzo2008

BlackSunFactoryResearch Team

Trojan:diffusioneefunzionalit
Itrojan nonsidiffondonoautonomamentecomeivirusoiworm,quindi
richiedonouninterventodirettodell'aggressoreperfargiungere
l'eseguibilemalignoallavittima.Spesso lavittimastessaaricercaree
scaricareuntrojan sulpropriocomputer,datocheicrackeramano
inserirequeste"trappole"adesempioneivideogiochipiratati,chein
generesonomoltorichiesti.
Untrojan pucontenerequalsiasitipodiistruzionemaligna.Spessoi
trojan sonousaticomeveicoloalternativoaiworm eaivirusperinstallare
dellebackdoor odeikeylogger suisistemibersaglio.
All'incircanegliannisuccessivial2001o2002itrojan incomiciarono ad
essereutilizzatisistematicamenteperoperazionicriminose;inparticolare
perinviaremessaggidispam eperrubareinformazionipersonaliquali
numeridicartedicreditoedialtridocumentioanchesoloindirizziemail.
ITrojan dinuovagenerazionehannomolteplicifunzionalit,quali
connessionitramiteIRCbot,formandoappuntoBotnet,eopzioniper
nascondersimeglionelsistemaoperativo,utilizzandotecnichediRootkit.

27Marzo2008

BlackSunFactoryResearch Team

ComponentidiunMalware
IMalware pi semplicisonocompostidaduepartiessenziali,sufficientiad
assicurarnelareplicazione:
unaroutinediricerca,chesioccupadiricercaredeifileadattiad
essereinfettati;
unaroutinediinfezione,conilcompitodicopiareilcodicedel
Malware all'internodiognifileselezionatodallaroutinediricerca.
MoltiMalware sonoprogettatipereseguiredelcodiceestraneoalle
finalit direplicazioneecontengonodunquealtridueelementi:
laroutinediattivazione;
ilpayload.
Iviruspossonoesserecriptati emagaricambiarealgoritmoe/ochiave
ognivoltachevengonoeseguiti,quindipossonocontenerealtritre
elementi:
unaroutinedidecifratura;
unaroutinedicifratura;
unaroutinedimutazione,chesioccupadimodificareleroutine di
cifratura edecifratura perogninuovacopiadelvirus.
27Marzo2008

BlackSunFactoryResearch Team

GliAVelestrategiedianalisi
Gliantivirusperidentificareuncontenutomalevolopoggiano
sullecosiddettefirme o signatures,ovverosull'azionedi
confrontotrauncontenutoanalizzatoedivaricontenuti
malevolipossibili,seinquestosensoilcontenutomalevolo
non censitonellefirmel'Antivirusnonlopuidentificare
comemalware.
Scansioneeuristica:questatecnicatentadirilevareforme
noteenuovedisoftwaredannosocercandonele
caratteristichegenerali.Ilvantaggioprincipalediquesta
tecnica chenonsibasasuifiledellefirmeperidentificaree
contrastareilsoftwaredannoso.Losvantaggio lalentezzae
ilrischiodiFalsipositivi.

27Marzo2008

BlackSunFactoryResearch Team

Nonpuoifermarequantonon vistocomeuna
minaccia!...

Unantivirus,alparidiunHIPS,nonpuimpedirecheuncodice non
individuatodallesignatures odaanalisieuristichevengainstallato.A
voltechiedeconfermaallutente,maanchequestononbasta.Nonsi
puconfidaresullinformazioneeleconoscenzedellutenteinmerito
allabont diuncodicenonidentificato(effettoZoneAlarm).
Imodellididifesasonoditiporeattivononproactive.
IlmodelloperSignature avoltevieneresoinefficacedallevariantidei
virusedeiBotworm
Lenuovevariantiappaionoprimachelesignature sianocreate
AlcuniBotworm hannolacapacit diaggiornarsiodiinstallareplugin per
inibireicontrolli
Ilmodelloentraincrisianchenelcasodiattacchizeroday
Quandosiintroduconodifeseproattive sicadefatalmentenelrischiodei
falsipositivi

27Marzo2008

BlackSunFactoryResearch Team

Tecnichedioffuscamento

Nelpassatoalcunicrackers sonoriuscitiadaggirarei
programmiantivirusutilizzandodeipayload crittografaticon
cuiveicolareiloroattacchi.AdesempioutilizzandoUPX(The
UltimatePacker foreXecutables)eMorphine,unprogramma
percrittare idati.Maabbiamopayload diffusianche
attraversofileGDI+ eJPEGchepermettonodinascondere
ulteriormenteiTrojan horse compattativiaUPXecrittografati
viaMorphine inmododapotersuperarefacilmenteleprime
difeseimpostatedagliutentiattraversoifiltridicontenutoo
gliantivirus.

27Marzo2008

BlackSunFactoryResearch Team

DefinizionediBotNet
Botnet untermine usato perdefinire uninsieme disoftware
robots,obots,chelavorano inmodo autonomo e
automatico.Questi softwarebot vengono solitamente
controllati da remoto.
Ingenere quindi laparola Botnet viene usata perdefinire
uninsieme dicomputercompromessi (chiamati anche
zombiesodrones)chevengono controllati da remoto
attraverso programmi ditipo worm,trojan obackdoorda una
infrastruttura digestione comune.
Unbotnet operator(anche definito "bot herder")pu
controllare remotamente il gruppo dizombieattraverso
canali diraccolta dei sistemi compromessi quali IRC,dei
serverwebodegli altri programmi dimessaggistica online.

27Marzo2008

BlackSunFactoryResearch Team

DefinizionediBotnet
Tradizionalmente il centro dicomando econtrollo (C&C)
posto allinterno dicanali IRCprivati (protetti da password)
suiquali isistemi zombiessi loggano aseguito della
compromissione.Unbot softwarelavora inmodalit nascosta
alsistema ealsuo leggittimo proprietario ed conforme
allRFC 1459(IRC)standard.
Lacompromissionepu essere legata avulnerabilit
sistemistiche (exploit,bufferoverflow,ecc)oallesecuzione
gi inprimaistanza ditrojan horse
Laprimaoperazione compiuta da unnuovo bot compromesso
lingresso nel canale dicontrollo acuiseguesolitamente
una fase automatica discansione delsegmento direte locale
delsistema compromesso percercare nuove possibili vittime
perallargare lacompromissioneadaltri PC.

27Marzo2008

BlackSunFactoryResearch Team

Maquantosonopericolose
questeBotnet?

27Marzo2008

BlackSunFactoryResearch Team

Ibei vecchi tempi

27Marzo2008

BlackSunFactoryResearch Team

Ibei vecchi tempi

27Marzo2008

BlackSunFactoryResearch Team

Ibei vecchi tempi


Gli attacchi erano svolti susingoli bersagli
Itrojan erano sviluppati percontrollare singole
macchine opiccoli gruppi
Leinfezioni si diffondevano lentamente
Ivettori erano iclassici:

software(Malware),
eMail attachment,
Exploitdiretto divulnerabilit
Programmi diChat

27Marzo2008

BlackSunFactoryResearch Team

Internetoggi

27Marzo2008

BlackSunFactoryResearch Team

Internetoggi

27Marzo2008

BlackSunFactoryResearch Team

Internetoggi

27Marzo2008

BlackSunFactoryResearch Team

Antivirus,Firewalls,and
more
Lattualescenariomostralintroduzionedialcune
specifichetecnologieutilinellalottacontroitradizionali
malware eillorometodididiffusione.
Alcuniproblemisonoquindirisolti,manonostante
questoassistiamoancoraallacrescitadellaminaccia
prodottadalleBotnet.
Leragionisonocollegatea:
CattiveabitudinidegliutentiInternet
Ignoranza
Mancanzadiapplicazionedeipurepi basilarimeccanismidi
protezione
27Marzo2008

BlackSunFactoryResearch Team

Permoltimanonpertutti
Cosapossiamodiredellasituazionedelle
nazioniinviadisviluppo?
DobbiamovederelaITSecurityinnuovicontesti.
DobbiamoanalizzareevalutarelaspesaperlaIT
Securityinquestenazioni
DobbiamoabbandonarelapercezionecheFirewal
eantivirussianolapanaceadiognimale
LeleggicontroSpam,Viruseviolazioni
informatichenon allineatatralevarienazioni

27Marzo2008

BlackSunFactoryResearch Team

BotNet:Facts!

27Marzo2008

BlackSunFactoryResearch Team

UsidiunaBotNet
Laflessibilit delle botnets mostrata dalle tante
possibili applicazioni malevole chesi possono
realizzare conesse:
DistributedDenialofServiceattacks
Spamming
Spreadingmalware
Trafficsniffing
Keylogging
Identitytheft
27Marzo2008

BlackSunFactoryResearch Team

DDoS Attacks
UnDenialofService (DoS) unattaccoportatoad
unhostconlobiettivodidisabilitarneunoopi
serviziofunzionalit.
IlDoS siperpetrasovraccaricandoilservizio
bersaglio.Questosovraccarico(Flood)puessere
generatodallazionecongiuntadivariemacchine
attaccanti.InquestocasosiparladiDistributed
DenialofService (DDoS).
Unabotnet lapi efficaceformadicontrolloedi
coordinamentoperattuareattacchiDDoS

27Marzo2008

BlackSunFactoryResearch Team

DDoS Attacks

Zombie

Zombie
Zombie

Zombie
Bot
Server

Zombie

Zombie

27Marzo2008

BlackSunFactoryResearch Team

DDoS Attacks

Zombie

Zombie
Zombie

Zombie
Bot
Server

Zombie

ATTACKTarget
Target

27Marzo2008

Zombie

BlackSunFactoryResearch Team

DDoS Attacks

Zombie

Zombie
Zombie

Zombie
Bot
Server

Zombie

ATTACKTarget
Target

27Marzo2008

Zombie

BlackSunFactoryResearch Team

Spam Distribution
Unaltracomuneformadiapplicazionedellebotnets la
distribuzionedispam.Questometodo efficacepericyber
criminalipercreareguadagniattraversolinfrastruttura
botnet dalorocreataegestita.
Unabotnet puessereaffittataadaziendesenzascrupoliche
possonodiffondereconessaadvertisements pubblicitariin
grandivolumieinmanieramoltoefficienteevitandoinoltre
cheiloromessaggidispam possanovenirefiltratidasistemi
diprotezioneditipoAntispam.
DadatiraccoltiediffusidaaziendecomeSecureWorks la
maggiorpartedellospam mondiale inviatoattraverso
sistemiclientsconWindowsXPabordo.

27Marzo2008

BlackSunFactoryResearch Team

Spam method ofdistribution


Spammer
Botherder

1 ITALY

Recipient

ITALY
4

China

USA

Zombies
3

27Marzo2008

BlackSunFactoryResearch Team

Malware distribution
Unbot herder puusarelasuabotnet perdiffondere
malware.
Bots istruitiacompierequesteoperazionipossonoscaricare
automaticamenteadware odialer.
Questopermettealtreformediintroitoperibotnet herder,
soprattuttoladdovelherder vienepagatopericlassicihosts
clickoperladiffusionediadvertisements.
Perfavorireilflussoeconomicoilbot herder necessitaavolte
diconoscerelesattaubicazionedeiproprizombiehostin
mododagarantirelarispondenzadeglispecificiadware
installaticonilmercatolocalediriferimento.

27Marzo2008

BlackSunFactoryResearch Team

Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer

ZombieD

ZombieB
IRCServer
IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Scan

Channel OP

Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Login:Zombie
Password:zomb13

Login:Zombie
Password:zomb13

Channel OP

ZombieA
IRCServer

ZombieD

ZombieB
IRCServer

Scan
IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Channel OP

Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Login:Zombie
Password:zomb13

Login:Zombie
Password:zomb13

Channel OP

ZombieA
IRCServer

ZombieD

ZombieB
IRCServer
IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Channel OP

Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer

ZombieD

ZombieB
IRCServer

Scan
Results

IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Channel OP

Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer

ZombieD

ZombieB
IRCServer
IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Scan
Results

Channel OP

Sniffing,Keylogging &IDTheft
Bot Channel operations include To:mr.jones@hotmail.com

To:mr.jones@hotmail.com
Subject:Invoice
Hello,
Thisisaninvoice
Foryourlast order

Keylog

Channel OP

Subject:Invoice
Hello,
Thisisaninvoice
Foryourlast order

ZombieA
IRCServer

ZombieD

ZombieB
IRCServer
IRCServer

ZombieC

27Marzo2008

BlackSunFactoryResearch Team

Channel OP

BotNet Architecture
Lecomunicazioniinunabotnet richiedonotre
coponenti:
unsender,
unchannel,
unreceiver,
Cisonoinoltrevarimodellidicomunicazionee
controllodiunaBotnet,alsolitoognunohaisuoi
vantaggieisuoisvantaggi.
Mostriamooratrediquestimodelli.

27Marzo2008

BlackSunFactoryResearch Team

Manytoone
C&C server

Zombie

27Marzo2008

Zombie

Zombie

Zombie

BlackSunFactoryResearch Team

Zombie

2TiersBotNet
C&C server

C&C
server

China
Zombies

27Marzo2008

Zombie

C&C
server

Egypt
Zombies

Zombie Zombie

Colombia
Zombies

BlackSunFactoryResearch Team

C&C
server

Russia
Zombies

Example:2Tiers Spam
Distribution
Botherder

Spammer

1 ITALY

Recipient

Moldova

ITALY
5

UK
Tier 2zombies
4

China

USA

Tier 1zombies
3

27Marzo2008

BlackSunFactoryResearch Team

Manytomany

P2Zombie

P2Zombie

P2Zombie

P2Zombie

27Marzo2008

P2Zombie

P2Zombie

P2Zombie

BlackSunFactoryResearch Team

P2Zombie

P2Zombie

HowtocreateaBotNet?

Duepossono essere imetodi dicreazione di


una botnet:
Standard,scriptkiddie way
Creative,31337way

27Marzo2008

BlackSunFactoryResearch Team

Botnet creation 4dummies

Allyouneed todois:
IndividuareunabuonaTrojan Console(Agobot,Rbot,
ecc);
Definireilcomportamentocheassumer ilTrojan
attraversoleopzionidellaGui;
Offuscalasignature (automagically);
CompilailTrojan (meglioseMultistage)
PredisponiuncanalesuIRCounWebsiteperlaBot
gathering
DiffondiilTrojan attraversoisistemiP2PoiSitiWarez
Enjoy
27Marzo2008

BlackSunFactoryResearch Team

Botnet 31337

An31337cr3wcould doworst

27Marzo2008

Individuaosviluppaunexploit0day
Integraloinuntrojan multistage
CompilailtuttoecodificaloconMorphine oUPX
DiffondiloinambientiP2P,Warez,Chat,etc
OrganizzailBotgathering,megliosemultistage
VendilaBotnet onoleggiala
Enjoy
BlackSunFactoryResearch Team

Botnet diffusion

Internet

www.warez.net

27Marzo2008

BlackSunFactoryResearch Team

1tierBotnet structure

Zombie

Zombie

Zombie

Zombie

Zombie
Zombie
C&C
Server

Zombie

Zombie
Zombie
27Marzo2008

BlackSunFactoryResearch Team

LetsRock!

Ora venutoilmomentodivederequalcosa
live
Ladies andGentlemen,we areproud to
introduceyou:Agobot,thefirstandprobably
themost diffused andknown Botworm

27Marzo2008

BlackSunFactoryResearch Team

Illaboratorio

BOTserver
Win2003Server

Web
server

IRCServer

Ftp
server

Zombie
Win Xp sp1
27Marzo2008

Zombie
Win Xp sp2

Zombie
Win2000

BlackSunFactoryResearch Team

PreparazionedelBot

VisualC++
gcc

Config Gui

Compilazione

BotNet.exe
27Marzo2008

BlackSunFactoryResearch Team

Comandi1(funzionali)

commands.list

Lists all available commands

cvar.list

prints a list of all cvars

cvar.get

gets the content of a cvar

cvar.set

sets the content of a cvar

cvar.loadconfig

loads config from a file

cvar.saveconfig

saves config to a file

mac.logout

logs the user out

login

logs the user in

27Marzo2008

BlackSunFactoryResearch Team

Comandi2(bot.)
9

bot.about

displays the info the author wants you to


see

10

bot.die

terminates the bot

11

bot.dns

resolves ip / hostname by dns

12

bot.execute

makes the bot execute a .exe

13

bot.id

displays the id of the current code

14

bot.nick

changes the nickname of the bot

15

bot.open

opens a file (whatever)

16

bot.remove

removes the bot

17

bot.removeallbut

removes the bot if id does not match

18

bot.rndnick

makes the bot generate a new random nick

19

bot.status

gives status

27Marzo2008

BlackSunFactoryResearch Team

Comandi3(bot.)
20

bot.sysinfo

displays the system info

21

bot.longuptime

If uptime > 7 days then bot will respond

22

bot.highspeed

If speed > 5000 then bot will respond

23

bot.quit

quits the bot

24

bot.flushdns

flushes the bots dns cache

25

bot.secure

delete shares

26

bot.unsecure

enable shares / disable dcom

27

bot.command

runs a command with system()

27Marzo2008

BlackSunFactoryResearch Team

Comandi4(irc.)
28

irc.disconnect

disconnects the bot from irc

29

irc.action

lets the bot perform an action

30

irc.dccsend

sends a file over dcc

31

irc.getedu

prints netinfo when the bot is .edu

32

irc.gethost

prints netinfo when host matches

33

irc.join

makes the bot join a channel

34

irc.mode

lets the bot perform a mode change

35

irc.netinfo

prints netinfo

36

irc.part

makes the bot part a channel

37

irc.privmsg

sends a privmsg

38

irc.quit

quits the bot

39

irc.raw

sends a raw message to the irc server

40

irc.reconnect

reconnects to the server

41

irc.server

changes the server the bot connects to

27Marzo2008

BlackSunFactoryResearch Team

Comandi5(http.&ftp.)

42

http.download

downloads a file from http

43

http.execute

updates the bot from a http url

44

http.visit

visits an url with a specified referrer

45

ftp.download

downloads a file from ftp

46

ftp.execute

updates the bot from a ftp url

47

ftp.update

executes a file from a ftp url

48

http.speedtest

Speed Test to see how fast the bot.

27Marzo2008

BlackSunFactoryResearch Team

Comandi6(ddos.)

49

ddos.udpflood

starts a UDP flood

50

ddos.synflood

starts an SYN flood

51

ddos.httpflood

starts a HTTP flood

52

ddos.stop

stops all floods

53

ddos.phatsyn

starts syn flood

54

ddos.phaticmp

starts icmp flood

55

ddos.phatwonk

starts leet flood

56

ddos.targa3

start a targa3 flood

27Marzo2008

BlackSunFactoryResearch Team

Comandi7(redirect.)

57

redirect.tcp

starts a tcp port redirect

58

redirect.gre

starts a gre redirect

59

redirect.http

starts a http proxy

60

redirect.https

starts a https proxy

61

redirect.socks

starts a socks4 proxy

62

redirect.socks5

starts a socks5 proxy

63

redirect.stop

stops all redirects running

27Marzo2008

BlackSunFactoryResearch Team

Comandi8(gestioneprocessi)

64

rsl.reboot

reboots the computer

65

rsl.shutdown

shuts the computer down

66

rsl.logoff

logs the user off

67

pctrl.list

lists all processes

68

pctrl.kill

kills a process

69

pctrl.listsvc

lists all services

70

pctrl.killsvc

deletes /stops service

71

pctrl.killpid

kills a pid

27Marzo2008

BlackSunFactoryResearch Team

Comandi9(gestioneprocessi)

72

inst.asadd

adds an autostart entry

73

inst.asdel

deletes an autostart entry

74

inst.svcadd

adds a service to scm

75

inst.svcdel

deletes a service from scm

76

harvest.cdkeys

makes the bot get a list of cdkeys

77

logic.ifuptime

exec command if uptime is bigger than


specified

78

logic.ifspeed

exec command if speed(via speedtest) is


bigger than specified

27Marzo2008

BlackSunFactoryResearch Team

Comandi10(harvest.)

79

harvest.emails

makes the bot get a list of emails

80

harvest.emailshttp

makes the bot get a list of emails via


http

81

harvest.aol

makes the bot get aol stuff

82

harvest.registry

makes the bot get registry info from


exact registry path

83

harvest.windowskeys

makes the bot get windows registry


info

27Marzo2008

BlackSunFactoryResearch Team

Comandi11(shell.&plugin.)

84

plugin.load

loads a plugin

85

plugin.unload

unloads a plugin (not supported yet)

86

shell.handler

FallBack handler for shell

87

shell.enable

Enable shell handler

88

shell.disable

Disable shell handler

27Marzo2008

BlackSunFactoryResearch Team

Comandi12(scan.)
89

scan.addnetrange

adds a netrange to the scanner

90

scan.delnetrange

deletes a netrange from the scanner

91

scan.listnetranges

lists all netranges registered with the scanner

92

scan.clearnetranges clears all netranges registered with the


scanner

93

scan.resetnetranges resets netranges to the localhost

94

scan.enable

enables a scanner module

95

scan.disable

disables a scanner module

96

scan.startall

enable all Scanners and start scanning

97

scan.stopall

disable all Scanners and stop scanning

98

scan.start

signal start to child threads

99

scan.stop

signal stop to child threads

100 scan.stats
27Marzo2008

displays stats of the scanner


BlackSunFactoryResearch Team

Graziedellattenzione
BlackSunFactoryResearch Team
StefanoMaccaglia
RaffaeleAddesso
AlbertoPassavanti
info@bsfactory.net
27Marzo2008

BlackSunFactoryResearch Team