Ultimas noticias de Ciber Seguridad del Centro Criptológico Nacional
  • El documento se encuentra disponible en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-06/19’ recoge el análisis del empaquetador utilizado actualmente por la familia de troyanos identificada como jRAT.
  • Procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección, desinfección e información del atacante son los principales puntos que incluye el documento.

El Informe Código Dañino CCN-CERT ID-06/19 “JRAT-Packer” se ha publicado recientemente en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis del empaquetador utilizado actualmente por la familia de troyanos identificada como jRAT, la cual es posible de identificar de igual manera tras los nombres de AdWind o JBifrost.

Este troyano, que se encuentra escrito en Java y ha sido utilizado desde sus primeras versiones en 2012, sigue bajo las actualizaciones constantes de parte de su desarrollador, contando en la actualidad con varias versiones anuales que publica en la página web del proyecto. La última versión disponible se trata de la “6.0.0-rc.1” publicada el 20 de julio de 2018. Una de las cosas más destacables de este troyano es la utilización de multitud de métodos destinados a dificultar su análisis, así como el uso de varios empaquetadores o sistemas de ofuscación basados en codificaciones y varios algoritmos de cifrado conjuntos.

Entre los principales puntos tratados en el informe se encuentra el que resume las principales características del código dañino. Estas serían que permite la ejecución de código JavaScript, que realiza acciones de cifrado, que ejecuta y alberga nuevas cargas maliciosas en su interior, que posee funciones de downloader y que posee archivos de configuración cifrados.

Por otro lado, el documento también señala que la infección se produce tras la ejecución de un fichero que contiene el código dañino. Asimismo, se incluyen otros apartados de interés como las características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección y desinfección. Para esto último, se aconseja la utilización de herramientas antivirus actualizadas y, en última instancia, el formateo y reinstalación completa del sistema informático, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Finalmente, el informe recoge la información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano JRat: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.

CCN (23/05/2019)

Informe Código Dañino CCN-CERT ID-06/19 “JRAT-Packer”


More information