Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Gh0stRAT

  • Publicado: 08/05/2019
  • Importancia: Media

Recursos afectados

Gh0stRAT(Open source RAT; Remote Access trojan)  permite tener control total sobre el computador de la víctima , registrar las pulsaciones del teclado, proporciona transmisiones de cámara y micrófono , subir y descargar archivos entre otros,añadir un nuevo usuario de red  e instalar llaves de registro para RDP. Consiste en El paquete Gh0stRAT(Samle) ocurre en los primeros 5 bytes del encabezado, se comunica con el servidor C2 sobre el puerto 22 enviando opcodes que corresponden a un tipo de respuesta, con 52 comandos cada un con su único opcode.

Para ello usa un algoritmo de cifrado  para esconder el tráfico sobre todo el segmento TCP como manera para evadir la detección y a través de envío de comandos puede ejercer una denegación de servicio DDoS a la víctima. Asi se creo una red de bots utilizando un DDoS como proveedor de servicio(DaaS).

El servidor C2 estuvo en silencio hasta el 31 de Marzo fecha en la cual envió varios “Command_DDOS Tool Complete’s” bajo la imagen de un servidor de Minecraft, resultando en el intento de 2 inundaciones  Http(una sin usuario especificado y otra sobre Linux) y una inundación de ICMP.

*CVE-2017-0143 SMB exploit(EternalBlue) / CVE-2017-0146 SMB exploit(Dublepulsar)

Etiquetas