Figura 1: Autenticación en IncognitoRAT |
IncognitoRAT se ha puesto bastante de moda en estos tiempos debido a su bot multiplataforma que permite infectar tanto sistemas Windows como sistemas Mac OS X, además de poder ser administrado desde un iPhone o un iPad. Como todos los buenos bots, tienen herramientas para crear el servidor y controlar la Botnet.
Sergio de los Santos, de Hispasec Sistemas, ha analizado estas herramientas para descubrir que la información que transmite la herramienta a los servidores de IncognitoRAT puede ser accedida por cualquiera, debido a una vulnerabilidad de Directory Listing.
Cuando un usuario quiere hacer uso de la herramienta de creación de bots, estas exigen una validación contra los servidores para saber si la herramienta ha sido adquirida, es decir, un anti-copy.
Como muchas otras soluciones de pago en el mundo malware, antes de ser utilizadas exigen la comprobación de la compra, que suele realizarse mediante algún código de licencia de desbloqueo. Sin embargo, esta herramienta añade identificadores de hardware y lo comprueba en cada uso, por lo que hace conexiones a los servidores en cada uso.
Figura 2: Compra por Paypal de IncognitoRAT |
Basta con analizar las comunicaciones con Wireshark para descubrir dónde está conectándose, y darse cuenta que la información de cada usuario que ha comprado la herramienta está en un fichero en los servidores de IncognitoRAT.
Figura 3: Análisis de Conexiones a los servidores de IncognitoRAT |
Que esto sea así ya es malo, ya que cualquiera podría bruteforcear estos nombres de ficheros para descubrir los datos de los compradores, pero lo más curioso es que esos directorios están abiertos con un Directory Listing, tal y como mostraba Sergio de los Santos (imagen de la izquierda) y como hemos comprobado nosotros (imagen de la derecha).
Figura 4: Directory Listing en los servidores de IncognitoRAT |
En el fichero, como se puede ver, están los identificadores de hardware, y alguna contraseña hasheada de alguna manera, que habrá que comprobar haciendo reversing si se puede sacar cuál es el algoritmo de hash para crear el MD5 o perder algo de tiempo crackeándolos.
Figura 5: Datos de las licencias compradas de IncognitoRAT |
Lo curioso es que esta conexión pone de manifiesto, es decir, deja rastro de, las direcciones IP donde se está utilizando este programa. De hecho, hemos visto que hay un fichero llamado ipdb.ver en el que se guarda un registro de los dns dinámicos asociados a cada uno de los ficheros de las cuentas. Por supuesto, como dice Sergio, el software deja claro en su EULA que es para uso educativo, y que no debe ser utilizado para otro tipo de actividades.
Aún así, es curioso ver que un creador de malware tenga su servidor así de mal configurado, y que exponga los datos de sus supuestos clientes. Viéndose esto, además de las quejas por estafa que ya publicamos en el post de IncognitoRAT anterior, parece que no van a conseguir muchos clientes que se diga.
No hay comentarios:
Publicar un comentario