elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  De incógnito en la botnet IncognitoRAT
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: De incógnito en la botnet IncognitoRAT  (Leído 1,656 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
De incógnito en la botnet IncognitoRAT
« en: 15 Mayo 2011, 02:21 am »

Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero han dado muestras de no saber asegurar sus servidores... de forma que hemos descubierto que se pueden obtener los datos de los supuestos compradores del kit.

Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows... Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3... sino sobre todo, su curioso recelo comercial... que parece que no han cuidado demasiado.

El cliente de este kit para crear y gestionar botnets, y al contrario que otros, exige presentarse en la red de la propia "compañía" que comercializa la herramienta (TeamHAVOC).




En la pestaña de "Request Auth" se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.

Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID.

En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde se revela el fallo cometido por los programadores.

El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). El supuesto error cometido es que los archivos son texto claro y con un formato propio. Sería como "ver" la base de datos de clientes que han comprado el kit para crear botnets.



Y a partir de ahí, se puede llegar hasta unos paquetes de software. Se trata de actualizaciones para la herramienta.

Las máquinas infectadas suelen contactar con puertos en torno al 400-500 de los servidores. Por ejemplo, "telnet riskygambler.no-ip.org 457" responde con un protocolo que en principio, no he identificado.

Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo, pues solo se observan cuatro cuentas activas y que el "gestor de autenticación" en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.

En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tancompleja, han fallado en lo más sencillo. En cualquier caso, no sabemos si los datos de los usuarios serán ciertos, o si se trata de simples pruebas que no han eliminado.

En el apartado de más información se describe cómo se comunica con el servidor y se aportan más imágenes.

Más Información:

De incógnito en la botnet IncognitoRAT
http://blog.hispasec.com/laboratorio/379

IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad
http://www.seguridadapple.com/2011/05/incognitorat-un-malware-multiplataforma.html

Sergio de los Santos
ssantos @ hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4585


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
El modo Incognito de Chrome, no tan privado
Noticias
wolfbcn 0 2,035 Último mensaje 19 Mayo 2010, 15:35 pm
por wolfbcn
The (Amnesic) Incognito Live System
GNU/Linux
_Cthulhu_ 1 3,173 Último mensaje 5 Septiembre 2010, 07:56 am
por rastanthology
Traslada pestañas al modo privado en Chrome con Incognito This!
Noticias
wolfbcn 0 1,695 Último mensaje 30 Abril 2012, 02:01 am
por wolfbcn
se puede navegar de incognito
Redes
bori 1 2,062 Último mensaje 28 Septiembre 2013, 19:07 pm
por Mister12
Cómo (no) te protege el modo incógnito de los navegadores
Noticias
wolfbcn 0 2,031 Último mensaje 11 Enero 2015, 02:30 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines