Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero parece que han dado muestras de no saber asegurar sus servidores... de forma que se pueden obtener los datos de los supuestos compradores.
Advierto que todos estos datos pueden no ser exactos o tan precisos como nos gustaría, puesto que no hemos hecho (todavía) una estricta ingeniería inversa sobre las muestras. En cualquier caso, teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo.
IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo (a ver si desterramos estos mitos cuanto antes). Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows... Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3... sino sobre todo, su curioso recelo comercial... que parece que no han cuidado demasiado.
Como en todo este tipo de kits para crear botnets, existe un programa para generar el agente "infector" por un lado, y un panel de control por otro. Conseguí el "Incognito RAT Client" y al contrario que otros kits de botnets, este exige presentarse en la red de la propia "compañía" que comercializa la herramienta (TeamHAVOC).
En la pestaña de "Request Auth" se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.
Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID (aunque seguro que esto puede eludirse).
En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde está lo interesante. Introduje unos datos al azar y comprobé el tráfico de red.
Vista la imagen, el siguiente paso estaba claro... y aquí es donde empieza el "full disclosure".
El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). Los archivos son texto claro.
Las contraseñas no están en texto claro... y md5crack.com no ayuda. Sólo sé que una de ellas es compartida con alguien más en el mundo...
Y a partir de ahí, se puede llegar hasta unos paquetes de software que no sé si deberían estar accesibles (desde el punto de vista del negocio de incognitorat.com). Se trata de actualizaciones para la herramienta, que analizaremos en otro momento. Un vistazo a la web no ofrece mucha más información.
De todos los dominios de tercer nivel (no-ip, habitualmente) que se observan en la página, casi todos responden. Descargando de la base de datos de VirusTotal un infector, descubro que las máquinas infectadas suelen contactar con puertos en torno al 400-500. Por ejemplo,
telnet riskygambler.no-ip.org 457
Responde con un protocolo que en principio, no he identificado.
Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo... (¿solo cuatro cuentas activas?) y que el "gestor de autenticación" en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.
Como curiosidad adicional, este recomendable vídeo, muestra como alguien se presenta a la red de IncognitoRAT y utiliza el nombre de usuario "beastint", que no se encuentra en los servidores "oficiales" en este momento (el vídeo está grabado el 3 de abril).
En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tan compleja, han fallado en lo más sencillo. En cualquier caso, no sé si los datos de los usuarios serán ciertos, si se trata de simples pruebas que no han eliminado, o si lo expuesto ha sido descubierto ya por alguien más... Pero como dice el propio EULA de la herramienta... esto está realizado con propósitos educacionales.
Fuente: http://blog.hispasec.com
