AlienSpy es una R.A.T. (Remote Administration Tool) que está basada en el popular Frutas y Unrecom/Adwind, que ha estado circulando por la red durante este años de 2014. Según parece este tipo de malware se utilizará en las mismas campañas en las que fue utilizado Unrecom / Adwind. Este RAT es multiplataforma y se instala tanto en sistemas operativos OS X como Linux. Para saber como funciona es muy interesante ver el tráfico de una captura de red en formato pcap y la información que se puede obtener. En el análisis que desde Contagio se ha realizado podemos ver, tras un volcado de las strings que existen en memoria en el proceso de la RAT, diversos datos interesantes para un analista.
Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
- 204.45.207.40 con hostname 212.clients.instantdedis.com.
- 38.89.137.248.
La RAT está formada por los siguientes ficheros que son transfer.java, paymentadvice.jar, purchase order.java y purchaseorder.java, que aunque se denominen igual, hay que notar que no son el mismo fichero.
Figura 1: MD5 de los ficheros de esta RAT para que los puedas buscar en repositorios |
La información sobre las evidencias y la RAT que han sido publicadas están disponibles en los siguientes enlaces:
Todas las capturas de tráfico recogidas por los investigadores muestran que el tráfico de AlienSpy tiene campos idénticos, siguiendo un flujo GZIP, mientras que en OS X tienen distintos datos. Los archivos JAR que tienen el payload no tienen ningún malware empaquetado.
Figura 2: Captura de tráfico OS X Lion |
Para evitar caer en infecciones de RATs escritas en Java en sistemas OS X es recomendable tener actualizado el sistema operativo, tener un antimalware en tiempo real y, más que recomendable, tener fortificadas las opciones de Java.
Buenos días:
ResponderEliminarEn los archivos donde esta los jar y los pcap, tienen contraseña previa..podeis decirla?
Saludos
Hola @EquipoTSS
ResponderEliminarPara saber la password debes contactar vía email con Mila (https://www.blogger.com/profile/09472209631979859691).
Un saludo!
Este comentario ha sido eliminado por el autor.
ResponderEliminar