Write-ups

Resolución Forense STRRAT – Rata Callejera!


El presente informe forense corresponde al análisis del desafío “Rata Callejera”, un escenario diseñado para simular la infección de un host corporativo mediante el malware STRRAT, un troyano RAT altamente conocido por proporcionar control remoto al atacante y su capacidad para robar información sensible.

El objetivo es identificar, a partir del tráfico capturado en el archivo (PCAP), las evidencias que permitan reconstruir la intrusión, identificar los datos de la víctima y encontrar los IOCs (Indicadores de Compromiso) asociados a la actividad maliciosa.

El pcap

¿Cuál es la IP de la víctima?

Esta función de Wireshark muestra un resumen de todas las direcciones IP que participaron en la captura.
Permite identificar cuál IP interna generó la mayor cantidad de tráfico o estuvo involucrada en actividad sospechosa.

¿Cuál es el Hostname de la víctima?

Los paquetes NBNS (NetBIOS Name Service) revelan nombres de host en redes Windows.

¿Cuál es la dirección MAC de la víctima?

Los paquetes ARP muestran la relación entre una dirección IP y su dirección MAC.

¿Cuál es el nombre de la cuenta de usuario de Windows?

Los paquetes Kerberos cont.ienen información de autenticación del usuario.
En este caso, reveló el CNameString, que contiene el nombre de la cuenta.

¿Cuál es el nombre completo del usuario?

Este filtro muestra los atributos de usuario provenientes del Active Directory.
Permite obtener el nombre, apellido y el nombre completo del usuario.

¿Qué dominio recibe una solicitud HTTP desde la IP víctima?

Visitar ip-api.com para obtener la respuesta de la siguiente pregunta.

¿Qué información intenta obtener el malware al consultar esa URL?

Hash SHA-256 del malware

4c249b325125235b50d9690560c4197a28fd62901b5e02d9eba7436b29447cdd

¿Cuál es el nombre real del archivo malicioso?

¿Cuál es el tamaño del archivo?

🐀 Descripción del malware STRRAT

STRRAT es un troyano de acceso remoto (RAT) escrito en Java, conocido por su capacidad para proporcionar control total sobre sistemas Windows comprometidos. Aunque es un malware relativamente simple en su arquitectura, es altamente funcional y modular, lo que lo hace popular entre actores maliciosos de distintos niveles técnicos.

Una característica curiosa de STRRAT es que finge cifrar archivos, agregando extensiones falsas como si se tratara de ransomware.
En realidad no cifra nada, solo intenta asustar a la víctima para que pague.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *