-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Gh0stRAT
- Publicado: 08/05/2019
- Importancia: Media
- Recursos afectados
Gh0stRAT(Open source RAT; Remote Access trojan) permite tener control total sobre el computador de la víctima , registrar las pulsaciones del teclado, proporciona transmisiones de cámara y micrófono , subir y descargar archivos entre otros,añadir un nuevo usuario de red e instalar llaves de registro para RDP. Consiste en El paquete Gh0stRAT(Samle) ocurre en los primeros 5 bytes del encabezado, se comunica con el servidor C2 sobre el puerto 22 enviando opcodes que corresponden a un tipo de respuesta, con 52 comandos cada un con su único opcode.
Para ello usa un algoritmo de cifrado para esconder el tráfico sobre todo el segmento TCP como manera para evadir la detección y a través de envío de comandos puede ejercer una denegación de servicio DDoS a la víctima. Asi se creo una red de bots utilizando un DDoS como proveedor de servicio(DaaS).
El servidor C2 estuvo en silencio hasta el 31 de Marzo fecha en la cual envió varios “Command_DDOS Tool Complete’s” bajo la imagen de un servidor de Minecraft, resultando en el intento de 2 inundaciones Http(una sin usuario especificado y otra sobre Linux) y una inundación de ICMP.
*CVE-2017-0143 SMB exploit(EternalBlue) / CVE-2017-0146 SMB exploit(Dublepulsar)
- Etiquetas