Análisis de malware
Gh0st RAT Parte 2: Estructura de paquetes y medidas de defensa
febrero 19, por Ninja de seguridad
Hemos visto en la Parte 1 de esta serie lo sofisticado que es Gh0st RAT y lo difícil que es identificar este ataque debido a las variantes que presenta.
En este artículo aprenderemos cómo se produce realmente la comunicación entre los componentes de Gh0st. Al final del artículo veremos algunas de las medidas que, si se adoptan, pueden proporcionar algunas buenas medidas defensivas contra un ataque Gh0st.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Gh0st RAT – Estructura del paquete de datos
A continuación se muestra la información del paquete que se intercambia entre un cliente Ghost RAT y un host comprometido.
- Encabezado del paquete: 5 bytes de longitud y contiene las palabras clave mágicas de Gh0st. Las palabras clave mágicas se indican en la Parte 1 de esta serie.
- Tamaño del paquete: entero de 4 bytes para determinar el tamaño total del paquete.
- Entero de 4 bytes que contiene el tamaño del paquete cuando no está comprimido.
- Datos de carga útil de tamaño variable que contienen comandos intercambiados entre el cliente y el host.
Es importante tener en cuenta que el encabezado de Ghost se envía en texto sin cifrar y la carga útil del paquete se comprime utilizando la biblioteca de compresión abierta zlib. La carga útil cifrada se puede descifrar fácilmente utilizando la función unencrypt() del módulo zlib. La carga útil contiene códigos de operación como comandos, tokens y modos, que se intercambian entre el cliente Gh0st RAT c2 y el host comprometido.
Algunos de los códigos de operación importantes se muestran a continuación.
Comandos
Códigos de token
Modos
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Medidas defensivas
La siguiente sección enumerará algunas de las medidas defensivas y proactivas que se pueden implementar para detectar Gh0st Malware.
- Monitoreo del tráfico con dispositivos de red en línea: las soluciones de seguridad que brindan un monitoreo profundo de paquetes, como los sistemas de detección/prevención de intrusiones (IDS/IPS), pueden ser de gran ayuda en la búsqueda de malware Gh0st. Pero hoy en día el malware Gh0st es tan sofisticado que una simple firma en el IDS/IPS no es suficiente para detectar el malware Gh0st.
- Escaneos de puertos internos: como hemos aprendido que existe una conexión persistente entre el cliente Gh0st RAT c2 y el host comprometido, ejecutar un escaneo de puertos internos a intervalos regulares revelará los puertos maliciosos.
- Monitoreo de servicios en hosts: dado que el malware generalmente se instala como rootkits y opera más cerca de la capa del kernel, y principalmente el malware se instala como servicios, se debe realizar un análisis interno de todos los servicios en ejecución en los hosts a intervalos regulares.
- Registros de eventos para hosts: los registros de eventos del host del punto final deben monitorearse para detectar inicios de sesión exitosos y fallidos. Supervise específicamente los tipos de inicio de sesión 3 y 10, porque estas son las formas más posibles en las que un intruso puede conectarse a los hosts internos.
- Por último, pero no menos importante, la concienciación sobre la seguridad es imprescindible para prevenir la mayoría de los malwares, y Gh0st RAT no es una excepción. Los usuarios deben conocer estos malwares para protegerse contra ataques como la redirección de URL.
Referencias
- http://www.mcafee.com/in/resources/white-papers/foundstone/wp-know-your-digital-enemy.pdf