Comunicados CCN-CERT

El CCN-CERT analiza la familia de troyanos IcedID/Bokbot

  • El ID-07/19 está disponible en la parte privada de su portal.
  • Este malware ha sido diseñado para infectar sistemas Windows, tomar su control y extraer información.
  • El CERT Gubernamental Nacional incluye en el informe las reglas Snort, YARA e IOC correspondientes.

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-07-19_IcedID, en el que se recoge un análisis de este malware. El documento se centra en la familia de troyanos identificada como “IcedID”, también conocida como “Bokbot”, diseñada para infectar sistemas Windows, tomar su control y extraer información, como puede ser el robo de credenciales.

Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características Técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección

Para detectar si un equipo se encuentra infectado o lo ha estado en algún momento, para cualquiera de sus usuarios, se recomienda utilizar la herramienta Autoruns.exe de Microsoft Windows Sysinternals. También se puede usar alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector generado por RedLine con los indicadores de compromiso generados para su detección.

Asimismo, el documento incluye diversos Anexos con reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).

En cuanto a la desinfección del equipo, se aconseja la utilización de herramientas antivirus actualizadas y, en última instancia, el formateo y la reinstalación completa del sistema informático, utilizando para ello lo indicado en las guías CCN-STIC correspondientes.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (28/05/2019)

CCN-CERT_ID-07-19_IcedID

Ministerio de Defensa
CNI
CCN
CCN-CERT