Informes del CCN-CERT sobre código dañino diseñados para formar parte de una botnet y comprometer equipos

  • El ID-03/16 y el ID-05/16 están disponibles en la parte pública de su portal web
  • Una variante del código dañino “Ponmocup” cuya botnet está considerada como una de las mayores descubiertas hasta el momento y otra de “Gamarue” diseñada para formar parte de una botnet y dificultar su detección, protagonistas de sendos informes.
  • El CERT Gubernamental Nacional publica estos documentos con sus reglas SNORT, YARA e IOCs correspondientes.

El CCN-CERT ha publicado en la parte pública del portal dos nuevos Informes de Código Dañino:

-CCN-CERT ID-03/16 Ponmocup: recoge el análisis de una variante de este código dañino con capacidad para comprometer y controlar equipos, de forma que pasan a ser nuevos nodos de una red botnet. Además, es capaz de detectar cómo y dónde está siendo ejecutado, cambiando su comportamiento y actuando como un simple dropper o descargando y ejecutando otros códigos dañinos.

Ponmocup utiliza diversas técnicas para garantizar con éxito su persistencia en los sistemas ya comprometidos y la botnet a la que pertenece está considerada como una de las mayores descubiertas hasta el momento. 

-CCN-CERT ID-05/16 “Gamarue”: una variante diseñada para formar una botnet, conectada a su servidor de Mando y Control (C2), desde donde es capaz de robar información y distribuirse.  Se trata de una botnet modular que puede añadir nuevas características maliciosas, propias o externas, por medio de módulos o librerías (vendidas por separado).

Los informes, recogidos en la parte pública del portal del CCN-CERT, recogen las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección

Además, se incluyen diversos Anexos con regla SNORT, Indicadores de Compromiso (IOC) y Regla Yara.

Comunicado CCN-CERT (25-02-2016)
Acceso a Informes

 

 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT