La compañía de seguridad FireEye ha publicado un conjunto de herramientas llamado "Calamine" que puede ser utilizado por las organizaciones para analizar ataques en los que se utilizó el Troyano de Acceso Remoto (RAT, por sus siglas en inglés) "Poison Ivy", una antigua y subestimada "plaga". Calamine, según FireEye, podría ser una forma útil de hacer frente a las amenazas más sofisticadas de hoy en día.

Calamine no está diseñada para detener a Poison Ivy sino, en caso de que el troyano forme parte de una intrusión más compleja, para determinar cómo ésta fue posible.
Como se indica en el reporte "Poison Ivy: Evaluación del daño y extracción de inteligencia", Poison Ivy existe desde 2006 y fue utilizado hace poco en una serie de ataques de alto perfil, resaltando el que afectó al sistema SecurID de RSA Security y los ataques Nitro (denominados así por Symantec) que afectaron a empresas químicas en 2011.

Tan común se ha vuelto Poison Ivy que podría ser más fácil indicar en qué ataques no ha sido utilizado. Su éxito se debe a la combinación de facilidad de uso con su ubicuidad; mientras más se utiliza, es más fácil confundir a los profesionales de seguridad que buscan atribuir un ataque a un grupo o país específico.

El propósito de cualquier RAT, incluyendo a Poison Ivy, es robar datos de acceso, robar documentos y adentrarse en una red mediante un recurso comprometido como un servidor o una PC no actualizados.

Paradojicamente, se corre el riesgo de ver a Poison Ivy como una herramienta genérica, algo equiparable a "ruedas de entrenamiento" (haciendo alusión cuando se aprende a montar una bicicleta) para hackers, una amenaza que puede ser fácilmente menospreciada e incluso ignorada.

"Menospreciar este tipo común de malware puede ser un error costoso. A pesar de su reputación como software de juguete para atacantes novatos, los RAT hacen la función de eje en muchos ciberataques sofisticados y son ampliamente utilizados", dijo el gerente del área de Información sobre Amenazas de FireEye, Darien Kindlund.

"Hoy en día, vemos cientos de ataques que utilizan Poison Ivy dirigidos a empresas de muy alto perfil", comentó.

Pero aunque pueden ser muy potentes, los RAT tienen una debilidad y es ahí donde entra Calamine: requieren control manual y en tiempo real por parte del atacante, lo que los hace más detectables con el uso de las herramientas adecuadas. Calamine incluye un módulo para descifrar comandos remotos, así como una capa capaz de capturar la configuración de los procesos de malware en ejecución, con el fin de localizar y modelar las acciones sobre la red, dijo FireEye.

La clave fue usar detección de RATs al inicio de la cacería, no al final de ella. La presencia de un atacante dentro de la red puede indicar que algo más complejo y serio está ocurriendo.

"Los RAT son mucho más personales y pueden indicar que se trata de un atacante dedicado que está interesado específicamente en tu organización", dijeron los autores del reporte.

Calamine puede ser descargado desde GitHub. El reporte, que incluye análisis de 194 ataques de Poison Ivy desde 2008, está disponible para su descarga.