Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero han dado muestras de no saber asegurar sus servidores... de forma que hemos descubierto que se pueden obtener los datos de los supuestos compradores del kit.
Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows... Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3... sino sobre todo, su curioso recelo comercial... que parece que no han cuidado demasiado.
El cliente de este kit para crear y gestionar botnets, y al contrario que otros, exige presentarse en la red de la propia "compañía" que comercializa la herramienta (TeamHAVOC).
En la pestaña de "Request Auth" se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.
Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID.
En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde se revela el fallo cometido por los programadores.
El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). El supuesto error cometido es que los archivos son texto claro y con un formato propio. Sería como "ver" la base de datos de clientes que han comprado el kit para crear botnets.
Y a partir de ahí, se puede llegar hasta unos paquetes de software. Se trata de actualizaciones para la herramienta.
Las máquinas infectadas suelen contactar con puertos en torno al 400-500 de los servidores. Por ejemplo, "telnet riskygambler.no-ip.org 457" responde con un protocolo que en principio, no he identificado.
Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo, pues solo se observan cuatro cuentas activas y que el "gestor de autenticación" en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.
En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tan compleja, han fallado en lo más sencillo. En cualquier caso, no sabemos si los datos de los usuarios serán ciertos, o si se trata de simples pruebas que no han eliminado.
En el apartado de más información se describe cómo se comunica con el servidor y se aportan más imágenes.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
De incógnito en la botnet IncognitoRAT
http://blog.hispasec.com/laboratorio/379
IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad
http://www.seguridadapple.com/2011/05/incognitorat-un-malware-multiplataforma.html
