BACKDOOR – Gh0st RAT

[mrwebfeeder]

---

Nombre: Gh0st RAT

Categoría: RAT / Backdoor

Descripción general:
Gh0st RAT es un troyano de acceso remoto (RAT) clásico utilizado en campañas de espionaje y control remoto encubierto. Permite al atacante tomar control casi completo del sistema infectado, incluyendo captura de teclado, pantalla y dispositivos como la webcam.

Comportamiento (lo que hace y archivos que afecta):

• Control remoto:
  - Ejecución de comandos en el sistema comprometido.
  - Gestión de archivos (subir, descargar, borrar, ejecutar).
  - Enumeración de procesos, servicios y configuración del sistema.
  
• Webcam stealth:
  - Activación silenciosa de la cámara web.
  - Captura de vídeo o imágenes sin notificación visible al usuario.
  
• Keylogger:
  - Registro de pulsaciones de teclado para robar:
  - Usuarios y contraseñas.
  - Mensajes de chat/correo.
  - Cualquier texto introducido en formularios.
  
• Otras capacidades típicas:
  - Captura de pantalla.
  - Posible grabación de audio desde el micrófono.
  - Actualización o descarga de módulos adicionales desde el C2.
  

- Archivos afectados:
- No cifra ni destruye datos, pero:
- Lee y exfiltra documentos y credenciales.
- Crea binarios y ficheros de configuración en rutas de usuario (AppData, Temp, etc.).

Persistencia (comportamiento típico):

• Copia del ejecutable RAT en:
  -
  Code:

  %AppData%
  ,
  Code:

  %LocalAppData%
  o carpetas similares con nombres que imitan software legítimo.
  
• Mecanismos de inicio automático:
  - Claves de Registro
  Code:

  Run
  /
  Code:

  RunOnce
  apuntando al binario del RAT.
  - Tareas programadas que relanzan el proceso tras reinicios.
  
• En algunos casos, servicios registrados como si fueran componentes del sistema para obtener mayor persistencia y privilegios.
  

Hash real de referencia (SHA-256):
Muestra pública asociada a Gh0st RAT:

Code:

99774dad873b0e7f3e1cbcbf8c010dae3a2baac704d9cb2f56a3fa8b14757612

Mitigación con GetOverX Shield v3.0.2.0 o superior:

• HIPS – Protección de webcam/teclado y bloqueo de inyección:
  - Restringir acceso a:
  - APIs de teclado (detección de keyloggers).
  - Dispositivos de vídeo (webcam) por parte de procesos no confiables.
  - Generar alertas cuando una aplicación desconocida intente:
  - Usar webcam/micrófono sin interacción del usuario.
  - Leer pulsaciones de teclado de forma continua.
  
  
• EDR – Detección de control remoto:
  - Monitorizar:
  - Procesos que abren conexiones persistentes a un mismo host C2.
  - Ejecución masiva de comandos del sistema sin intervención del usuario.
  - Acceso intensivo a archivos, capturas de pantalla y dispositivos multimedia.
  - Configurar respuesta:
  - Marcar el host como sospechoso si se detecta patrón de RAT.
  - Permitir aislamiento de red del equipo afectado para cortar el control remoto.
  
  
• Firewall – Bloqueo de C2:
  - Restringir conexiones salientes a:
  - Puertos y protocolos realmente usados por la organización.
  - Bloquear:
  - Canales TCP persistentes hacia dominios/IPs desconocidos asociados a RAT.
  - Registrar y alertar conexiones inusuales desde estaciones de trabajo hacia Internet que mantengan sesiones largas.
  
  
• Antivirus / Limpieza:
  - Mantener firmas AV y reglas YARA actualizadas para:
  - Binarios de Gh0st RAT.
  - Droppers y empaquetadores relacionados.
  - Escanear:
  - Directorios de usuario (AppData/Roaming/Temp).
  - Carpetas donde se guardan adjuntos y descargas.
  - Poner en cuarentena:
  - Ejecutables que coincidan con firmas o patrones de Gh0st RAT.
  
  
• Medidas adicionales recomendadas:
  - Auditar periódicamente:
  - Claves de Registro de inicio automático.
  - Tareas programadas nuevas o modificadas.
  - Forzar cambio de credenciales:
  - Cuentas usadas en equipos donde se detecte actividad de keylogging/espionaje.
  - Activar MFA en servicios críticos (correo, VPN, paneles de administración) para reducir impacto de credenciales robadas.