
Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
- 204.45.207.40 con hostname 212.clients.instantdedis.com.
- 38.89.137.248.
La RAT está formada por los siguientes ficheros que son transfer.java, paymentadvice.jar, purchase order.java y purchaseorder.java, que aunque se denominen igual, hay que notar que no son el mismo fichero.
Figura 1: MD5 de los ficheros de esta RAT para que los puedas buscar en repositorios |
La información sobre las evidencias y la RAT que han sido publicadas están disponibles en los siguientes enlaces:
Todas las capturas de tráfico recogidas por los investigadores muestran que el tráfico de AlienSpy tiene campos idénticos, siguiendo un flujo GZIP, mientras que en OS X tienen distintos datos. Los archivos JAR que tienen el payload no tienen ningún malware empaquetado.
Figura 2: Captura de tráfico OS X Lion |
Para evitar caer en infecciones de RATs escritas en Java en sistemas OS X es recomendable tener actualizado el sistema operativo, tener un antimalware en tiempo real y, más que recomendable, tener fortificadas las opciones de Java.
Buenos días:
ResponderEliminarEn los archivos donde esta los jar y los pcap, tienen contraseña previa..podeis decirla?
Saludos
Hola @EquipoTSS
ResponderEliminarPara saber la password debes contactar vía email con Mila (https://www.blogger.com/profile/09472209631979859691).
Un saludo!
Este comentario ha sido eliminado por el autor.
ResponderEliminar