citadel_painel

Fazendo algumas buscas pela internet hoje, acabei encontrando um painel da Citadel Botnet, verificando mais a fundo a URL, podemos verificar que aparece apenas um IP, geralmente quando tem apenas um IP é pouco provável que a pessoa que montou essa botnet tenha se dado ao trabalho de fazer todas as configurações de forma correta, andando pela raiz cheguei na página do XAMPP, como podemos ver na imagem abaixo, entre várias coisas, verifiquei que aparece um link para o painel do PHPmyAdmin e para minha surpresa, o cibercriminoso não colocou nenhuma forma de autenticação para acessar o painel.

citadel-002 citadel-003

O banco de dados usado pela botnet era o “drupal_cms”, como o PHPmyAdmin estava completamente aberto, eu tinha total privilégio para fazer qualquer tipo de alteração, fui então para a tabela de registro de usuário administrativo do operador da botnet.

citadel-004 citadel-005

Fiz a alteração da senha para conseguir me logar no painel principal da Citadel Botnet (primeira imagem do post). Um detalhe importante, a senha é criptografada em MD5, então eu escolhi uma senha qualquer e encriptei com MD5 e coloquei essa Hash no banco de dados, do contrário, o banco de dados não iria aceitar a senha nova.

Como pode ser verificado no painel administrativo da Citadel, ela existe desde 21/01/2014 e tem 118 bots ou máquinas zumbis.

citadel-006

Na imagem abaixo podemos verificar a listagem de todos os zumbis que essa botnet já conseguiu infectar, quando tem a marcação em verde indica que aquele zumbi está online naquele momento.

citadel-007 citadel-011

A Citadel passa relatórios bem detalhados de tudo que está acontecendo com a máquina infectada, relatórios de arquivos, cookies, é possível injetar scripts, tirar printscreen da tela, enviar comandos para o Promtp de comando do Windows entre outras coisas.

citadel-008

Na imagem abaixo você pode verificar como esse relatório é passado, é simplesmente um arquivo de texto com todos os registros do computador infectado, como login e senha de email, banco, PayPal, Facebook e tudo que for possível ser capturado. Citadel permite também fazer uma busca no banco de dados, dessa forma é mais fácil fazer buscas por palavras em todos os registros gravados pela botnet.

citadel-009

Como sempre, as vítimas são usuários de Windows e a maioria ainda usa o Windows XP, Citadel ainda é uma botnet muito popular pelos cibercriminosos pela facilidade com que se acha seus arquivos hoje em dia. Qualquer dúvida, deixe um comentário ou mande um email.