Los usuarios y administradores se les recomienda tomar las siguientes
medidas preventivas para proteger sus redes de computadoras:
-
Utilizar y mantener el software anti-virus - El software anti-virus
reconoce y protege el ordenador contra los virus más conocidos. Es importante mantener su software anti-virus actualizados (consulte Descripción de Software Anti-Virus para más información).
-
Mantenga su sistema operativo y software de aplicación hasta al fecha -
Instale los parches de software para que los atacantes no puedan tomar
ventaja de problemas conocidos o vulnerabilidades. Muchos sistemas operativos ofrecen actualizaciones automáticas. Si esta opción está disponible, usted debe habilitarlo (consulte Descripción de parches para obtener más información).
- Revisión Consejo de Seguridad de manipulación destructiva Malware # ST13-003 y evaluar sus capacidades que abarcan la planificación, preparación, detección y respuesta para tal evento.
-
Revisar las prácticas recomendadas para los sistemas de control y
Mejora Industrial Sistemas de Control de Seguridad Cibernética con
estrategias de defensa en profundidad (pdf).
La siguiente es una lista de los indicadores de Compromiso (IOC) que se
pueden agregar a la red de soluciones de seguridad para determinar si
están presentes en una red.
MD5s:
SMB herramienta gusano:
MD5: f6f48551d7723d87daeef2e840ae008f
Caracterización: File Hash lista
Notas: "herramienta gusano SMB"
Apertura de tiempo de compilación PE: 20141001T072107Z
Los más recientes El PE tiempo de compilación: 20141001T072107Z
MD5: 194ae075bf53aa4c83e175d4fa1b9d89
Caracterización: File Hash lista
Notas: "herramienta gusano SMB"
Apertura de tiempo de compilación PE: 20141001T120954Z
Los más recientes El PE tiempo de compilación: 20141001T142138Z
Puerta trasera Peso ligero:
MD5: f57e6156907dc0f6f4c9e2c5a792df48
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20110411T225224Z
Últimas tiempo de compilación PE: 20110411T225224Z
MD5: 838e57492f632da79dcd5aa47b23f8a9
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20110517T050015Z
Últimas tiempo de compilación PE: 20110605T204508Z
MD5: 11c9374cea03c3b2ca190b9a0fd2816b
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20110729T062417Z
Últimas tiempo de compilación PE: 20110729T062958Z
MD5: 7fb0441a08690d4530d2275d4d7eb351
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20120128T071327Z
Últimas tiempo de compilación PE: 20120128T071327Z
MD5: 7759c7d2c6d49c8b0591a3a7270a44da
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20120309T105837Z
Últimas tiempo de compilación PE: 20120309T105837Z
MD5: 7e48d5ba6e6314c46550ad226f2b3c67
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20120311T090329Z
Últimas tiempo de compilación PE: 20120311T090329Z
MD5: 0a87c6f29f34a09acecce7f516cc7fdb
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20120325T053138Z
Últimas tiempo de compilación PE: 20130513T090422Z
MD5: 25fb1e131f282fa25a4b0dec6007a0ce
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20130802T054822Z
Últimas tiempo de compilación PE: 20130802T054822Z
MD5: 9761dd113e7e6673b94ab4b3ad552086
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20130913T013016Z
Últimas tiempo de compilación PE: 20130913T013016Z
MD5: c905a30badb458655009799b1274205c
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20140205T090906Z
Últimas tiempo de compilación PE: 20140205T090906Z
MD5: 40adcd738c5bdc5e1cc3ab9a48b3df39
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20140320T152637Z
Últimas tiempo de compilación PE: 20140402T023748Z
MD5: 68a26b8eaf2011f16a58e4554ea576a1
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20140321T014949Z
Últimas tiempo de compilación PE: 20140321T014949Z
MD5: 74982cd1f3be3d0acfb0e6df22dbcd67
Caracterización: File Hash lista
Notas: "puerta trasera Ligera"
Apertura de tiempo de compilación PE: 20140506T020330Z
Últimas tiempo de compilación PE: 20140506T020330Z
Herramienta Proxy:
MD5: 734740b16053ccc555686814a93dfbeb
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140611T064905Z
Últimas tiempo de compilación PE: 20140611T064905Z
MD5: 3b9da603992d8001c1322474aac25f87
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140617T035143Z
Últimas tiempo de compilación PE: 20140617T035143Z
MD5: e509881b34a86a4e2b24449cf386af6a
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140618T064527Z
Últimas tiempo de compilación PE: 20140618T064527Z
MD5: 9ab7f2bf638c9d911c2c742a574db89e
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140724T011233Z
Últimas tiempo de compilación PE: 20140724T011233Z
MD5: a565e8c853b8325ad98f1fac9c40fb88
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140724T065031Z
Últimas tiempo de compilación PE: 20140902T135050Z
MD5: 0bb82def661dd013a1866f779b455cf3
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140819T024812Z
Últimas tiempo de compilación PE: 20140819T024812Z
MD5: b8ffff8b57586d24e1e65cd0b0ad9173
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140902T172442Z
Últimas tiempo de compilación PE: 20140902T172442Z
MD5: 4ef0ad7ad4fe3ef4fb3db02cd82bface
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20141024T134136Z
Últimas tiempo de compilación PE: 20141024T134136Z
MD5: eb435e86604abced7c4a2b11c4637a52
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140526T010925Z
Últimas tiempo de compilación PE: 20140526T010925Z
MD5: ed7a9c6d9fc664afe2de2dd165a9338c
Caracterización: File Hash lista
Notas: "herramienta Proxy"
Apertura de tiempo de compilación PE: 20140611T064904Z
Destructivo herramienta de disco duro:
MD5: 8dec36d7f5e6cbd5e06775771351c54e
Caracterización: File Hash lista
Notas: "herramienta de disco duro destructivo"
Apertura de tiempo de compilación PE: 20120507T151820Z
Últimas tiempo de compilación PE: 20120507T151820Z
MD5: a385900a36cad1c6a2022f31e8aca9f7
Caracterización: File Hash lista
Notas: "herramienta de limpieza objetivo destructivo"
Apertura de tiempo de compilación PE: 20130318T003315Z
Últimas tiempo de compilación PE: 20130318T003315Z
MD5: 7bea4323807f7e8cf53776e24cbd71f1
Caracterización: File Hash lista
Notas: "herramienta de limpieza objetivo destructivo"
Apertura de tiempo de compilación PE: 20130318T003319Z
Últimas tiempo de compilación PE: 20130318T003319Z
Nombre: d1c27ee7ce18675974edf42d4eea25c6.bin
Tamaño: 268579 bytes (268.6 KB)
MD5: D1C27EE7CE18675974EDF42D4EEA25C6
PE tiempo de compilación: 22/11/2014 00:06:54
El malware tiene las siguientes características:
Mientras que el nombre original de este archivo es desconocido, era probable "diskpartmg16.exe". Este archivo sirve como un cuentagotas. Cae el malware destructivo: "igfxtrayex.exe". Cuando se ejecuta el archivo cuentagotas, comenzó una segunda instancia de sí mismo con "i" como argumento, y luego termina.
La segunda instancia del archivo gotero se instaló como el servicio
"WinsSchMgmt" con "k" como un argumento de línea de comandos, inicie el
servicio, y luego termina.
El servicio "WinsSchMgmt" ejecuta el archivo con "k" como argumento,
que inicia otra instancia del archivo con "-s" como argumento.
El "-s" instancia cayó y ejecutado "igfxtrayex.exe", creado
"net_ver.dat", y comenzó a generar tráfico de red a través de puertos
TCP 445 y 139 a la víctima direcciones IP.
Nombre: net_ver.dat
Tamaño: bytes 4572 (4.6 KB) (tamaño variará)
MD5: 93BC819011B2B3DA8487F964F29EB934 (hash variará)
Este es un archivo de registro creado por el gotero, y anexa a como las
exploraciones progresan Contiene lo que parecen ser los nombres de
host, direcciones IP, y las entradas número 2. En el archivo tiene la
estructura "HOSTNAME | Dirección IP | 2".
Nombre: igfxtrayex.exe
Tamaño: 249856 bytes (249.9 KB)
MD5: 760C35A80D758F032D02CF4DB12D3E55
PE tiempo de compilación: 24/11/2014 04:11:08
Este es un archivo de malware destructivo: un limpiador de disco con capacidades de baliza red. Si "igfxtrayex.exe" se ejecuta sin parámetros, se crea e inicia una copia de sí mismo con el argumento de la "i".
Después de 10 minutos, el "igfxtrayex.exe" hace tres copias de sí mismo
y los coloca en el mismo directorio desde el que fue ejecutado. Estas copias se denominan de acuerdo con el formato "taskhostXX.exe" (donde X es un carácter ASCII generado aleatoriamente). Estas copias se ejecutan entonces, cada uno con un argumento diferente (uno de ellos "-m", uno de ellos "-d" y el otro "w").
Los intentos de conexión de red se hacen para una de las tres
direcciones IP no modificables en un orden aleatorio al puerto 8080 o
8000. Si una conexión con la dirección IP no se puede hacer, intenta
conectarse a otra de las tres direcciones IP, hasta conexiones a las
tres direcciones IP se han intentado. La siguiente cadena de línea de comandos se ejecuta a continuación: "cmd.exe / c net stop MSExchangeIS / y". Se emite un comando sleep 120 minutos (2 horas) después de que el ordenador está apagado y reiniciado.
Nombre: iissvr.exe
Tamaño: 114688 bytes (114.7 KB)
MD5: E1864A55D5CCB76AF4BF7A0AE16279BA
PE tiempo de compilación: 11/13/2014 02:05:35
Este archivo, cuando se ejecuta, se inicia un oyente en el puerto
localhost 80. Tiene 3 archivos contenidos en la sección de recursos; todo con XOR con 0x63.
Nombre: usbdrv3_32bit.sys
Tamaño: 24,280 bytes (24.3 KB)
MD5: 6AEAC618E29980B69721158044C2E544
PE tiempo de compilación: 2009-08-21 06:05:32
Este archivo SYS es una herramienta disponible en el mercado que
permite / escribir archivos y sectores del disco primas para las
aplicaciones en modo de usuario en Windows 2000, XP, 2003, Vista, 2008
(32-bit) leer. Se bajó de ID de recurso 0x81 de "igfxtrayex.exe".
Nombre: usbdrv3_64bit.sys
Tamaño: 28,120 bytes (28.1 KB)
MD5: 86E212B7FC20FC406C692400294073FF
PE tiempo de compilación: 2009-08-21 06:05:35
Este archivo SYS es un también una herramienta disponible en el mercado
que permite la lectura / escritura de acceso a archivos y sectores del
disco primas para las aplicaciones en modo de usuario en Windows 2000,
XP, 2003, Vista, 2008 (64-bit). Se bajó de ID de recurso 0x83 de "igfxtrayex.exe".
Nombre: igfxtpers.exe
Tamaño: 91,888 bytes (91.9 KB)
MD5: e904bf93403c0fb08b9683a9e858c73e
PE tiempo de compilación: 07/07/2014 08:01:09
Un resumen de las direcciones IP C2:
Dirección IP País Puerto Nombre Del Archivo
203.131.222.102 | Tailandia | 8080 | Diskpartmg16.exe igfxtrayex.exe igfxtpers.exe |
217.96.33.164 | Polonia | 8000 | Diskpartmg16.exe igfxtrayex.exe |
88.53.215.64 | Italia | 8000 | Diskpartmg16.exe igfxtrayex.exe |
200.87.126.116 | Bolivia | 8000 | - |
58.185.154.99 | Singapur | 8080 | - |
212.31.102.100 | Ciprés | 8080 | - |
208.105.226.235 | Estados Unidos | - | igfxtpers.exe |
Firmas de Snort:
Herramienta Gusano SMB (no necesariamente la propia herramienta):
tcp alerta a cualquier -> any any (msg: "Wiper 2"; sid: 42000002;
rev: 1; flujo: establecido; contenido: "| c9 06 d9 fc 37 23 5a fe f9 40
ba 4c 94 14 98 96 |" ; profundidad: 16; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Wiper 3"; sid: 42000003;
rev: 1; flujo: establecido; contenido: "| aa 64 ba f2 56 |";
profundidad: 50; ClassType: bad-desconocido; )
ip alerta a cualquier -> any any (msg: "Wiper 4"; sid: 42000004;
rev: 1; contenido: "| aa 74 ba f2 b9 75 |"; profundidad: 74; ClassType:
bad-desconocido;)
tcp alerta a cualquier -> cualquier [8000,8080] (msg: "Wiper 5";
sid: 42000005; rev: 1; flujo: establecido, to_server; DSIZE: 42;
byte_test: 2, =, 40,0, poco; contenido: "| 04 00 00 00 |"; profundidad:
4; offset: 38; ClassType: bad-desconocido;)
Escuchar Implante:
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 1"; sid:
42000006; rev: 1; flujo: establecido; contenido: "| 1f 0c 1f 1f 4d 4c 5a
4f 50 51 4c 2d 3f 5a 2f 2f 3f 50 54 3e 3e 3e | "; profundidad: 22;
ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 2"; sid:
42000007; rev: 1; flujo: establecido; contenido: "| c4 d3 d2 d1 d2 cf ce
c4 a1 b1 b3 b1 a1 a0 ce ca a0 a0 | "; profundidad: 18; ClassType:
bad-desconocido;)
ip alerta a cualquier -> any any (msg: "Escuchar Implante 3"; sid:
42000008; rev: 1; contenido: "| 17 08 14 13 67 0F 13 13 17 67 15 02 16
12 02 14 13 78 47 47 | "; profundidad: 24; ClassType: bad-desconocido;)
ip alerta a cualquier -> any any (msg: "Escuchar Implante 4"; sid:
42000009; rev: 1; contenido: "| 4f 50 4c 4b 3f 57 4b 4b 4f 3f 4d 5a 4e
4a 5a 4c 4b 20 1f |" ; profundidad: 23; ClassType: bad-desconocido;)
alerta ip any any -> any any (msg: "Escuchar Implante 5"; sid:
42000010; rev: 1; contenido: "| 15 02 14 17 08 09 14 02 67 75 77 77 67
08 0C 66 66 66 |"; profundidad: 22; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 6"; sid:
42000011; rev: 1; flujo: establecido; contenido: "| 09 22 33 30 28 35 2c
|"; fast_pattern: solamente; ClassType: mal -unknown;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 7"; sid:
42000012; rev: 1; flujo: establecido; contenido: "| 13 2f 22 35 22 67 26
35 22 29 27 33 67 28 37 22 29 67 37 28 35 33 34 69 | "; fast_pattern:
solamente; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 8"; sid:
42000013; rev: 1; flujo: establecido; contenido: "| 43 47 47 47 45 67 47
47 43 47 47 47 44 67 47 47 | "; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implante 9"; sid:
42000014; rev: 1; flujo: establecido; contenido: "| 43 47 47 47 42 67 47
47 43 47 47 47 67 47 47 4f 43 47 47 47 43 67 47 47 43 47 47 47 67 47 47
4e | "; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implant 10"; sid:
42000015; rev: 1; flujo: establecido; contenido: "| ce d1 d2 d5 a1 c9 d5
d5 d1 a1 d3 d4 c4 c4 d0 d2 d5 ser | "; profundidad: 18; ClassType:
bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implant 11"; sid:
42000016; rev: 1; flujo: establecido; contenido: "| 17 08 14 13 67 0F 13
13 17 67 15 02 16 12 02 14 13 78 | "; profundidad: 18; ClassType:
bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Escuchar Implant 12"; sid:
42000017; rev: 1; flujo: establecido; contenido: "| 0c 1f 1f 1f 4f 50 4c
4b 3f 57 4b 4b 4f 3f 4d 5a 4e 4a 5a 4c 4b 20 | "; ClassType:
bad-desconocido;)
Backdoor Peso ligero:
alerta tcp cualquier 488 -> any any (msg: "Ligero Backdoor 1"; sid:
42000018; rev: 1; flujo: establecido, from_server; contenido: "| 60 db
37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType:
bad-desconocido;)
alerta tcp cualquier cualquier -> cualquier 488 (msg: "Ligero
Backdoor 2"; sid: 42000019; rev: 1; flujo: establecido, to_server;
contenido: "| 60 db 37 37 37 37 37 37 |"; fast_pattern: solamente;
ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 3"; sid:
42000020; rev: 1; flujo: establecido; contenido: "| 4c 4c |";
profundidad: 2; offset: 16; contenido: "| 75 14 2a 2a | "; distancia: 4;
en: 4; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 4"; sid:
42000021; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 67 80 f2
24 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 24 80 f2
ea 67 88 10 |"; ClassType: bad-desconocido;)
alerta tcp cualquier 488 -> any any (msg: "Ligero Backdoor 5"; sid:
42000022; rev: 1; flujo: establecido, from_server; contenido: "| 65 db
37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType:
bad-desconocido;)
alerta tcp cualquier cualquier -> cualquier 488 (msg: "Ligero
Backdoor 6"; sid: 42000023; rev: 1; flujo: establecido, to_server;
contenido: "| 65 db 37 37 37 37 37 37 |"; fast_pattern: solamente;
ClassType: bad-desconocido;)
tcp alerta a la [547,8080,133,117,189,159] -> any any (msg: "Ligero
Backdoor 7"; sid: 42000024; rev: 1; flujo: establecido, from_server;
contenido: "| 7b 08 2a 2a |"; offset: 17; contenido: "| 08 2a 2a 01 00
|"; distancia: 0; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 8"; sid:
42000025; rev: 1; flujo: establecido; contenido: "| 8a 10 80 62 80 ea f2
b4 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 f2 b4 80
c2 62 88 10 |"; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 9"; sid:
42000026; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 4e 80 f2
79 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 79 80 f2
ea 4e 88 10 |"; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 10"; sid:
42000027; rev: 1; flujo: establecido; contenido: "Sleepy @ #
qaz13402scvsde890!"; fast_pattern: solamente; contenido: "BC435 @
PRO62384923412! ! @ 3 "; nocase; ClassType: bad-desconocido;)
Herramienta de proxy:
tcp alerta a cualquier -> any any (msg: "Herramienta Proxy 1"; sid:
42000028; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 3a 80 f2
73 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 73 80 f2
ea 3a 88 10 |"; ClassType: bad-desconocido;)
! tcp alerta a cualquier -> any any (msg: "Herramienta de proxy 2";
sid: 42000029; rev: 1; flujo: establecido; contenido: "HTTP / 1";
contenido: "| e2 1d 49 49 |"; profundidad : 4; fast_pattern; contenido:
"| 49 49 49 49 |"; distancia: 4; en: 4; ClassType: bad-desconocido;)
tcp alerta a cualquier -> any any (msg: "Proxy Tool 3"; sid:
42000030; rev: 1; flujo: establecido; contenido: "| 82 f4 de d4 d3 c2 ca
c8 f5 c8 d3 82 fb f4 de d4 d3 c2 ca 94 95 fb d4 d1 c4 cf c8 d4 d3 89 c2
c2 df 87 8a cc 87 00 | "; fast_pattern: solamente; ClassType:
bad-desconocido;)
Malware asociado con el actor amenaza cibernética:
tcp alerta a cualquier -> cualquier [8000,8080] (msg: "WIPER4";
flujo: establecido, to_server; DSIZE: 42; contenido: "| 28 00 |";
profundidad: 2; contenido: "| 04 00 00 00 | "; offset: 38; profundidad:
4; sid: 123;)
Anfitrión Indicadores de Base
A continuación se presentan los posibles firmas YARA para detectar los binarios de malware en máquinas host:
SMB Gusano Herramienta:
cadenas:
$ Str1 = "Global FwtSqmSession106829323_S-1.5.19"
$ STR2 = "TODOS"
$ Str3 = "! Llyid y0uar3 @ s! 07, ou74n60u7f001"
$ STR4 = " KB25468.dat" condición:
(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STR1 = '' NetMgStart "
$ STR2 = '' Netmgmt.srg "
condición:
(UINT16 (0) == 0x5A4D) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STR1 = ancho nocase ascii "prxTroy"
condición:
(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STRL = {C6 45 E8 64 C6 45 E9 61 C6 45 EA 79 C6 45 EB 69 C6 45 CE, 70
C6 45 ED 6D C6 45 EE 72 C6 45 EF 2E C6 45 F0 74 C6 45 F1 62 C6 45 F2 6C}
/ / 'dayipmr.tbl' se trasladó a ebp
condición:
(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uint16 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STRL = {C6 45 F4 61 C6 45 F5 6E C6 45 F6 73 C6 45 F7 69 C6 45 F8 2E
C6 45 F9 6E C6 45 FA 6C C6 45 FB 73} // 'ansi.nls' se trasladó a ebp
condición:
(Uint16 (0) == 0x5A4D o uint16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STRL = {C6 45 F4 74 C6 45 F5 6C C6 45 F6 76 C6 45 F7 63 C6 45 F8 2E
C6 45 F9 6E C6 45 FA 6C C6 45 FB 73} // 'tlvc.nls' se trasladó a ebp
condición:
(UINT16 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Backdoor Peso ligero:
cadenas:
$ STR1 = {8A 10 80 ?? 4E 80 ?? 79 88 10}
$ STR2 = {SA 10 80 ?? 79 80 ?? 4E 88 10}
condición:
(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Herramienta de proxy:
cadenas:
$ STR1 = "pmsconfig.msi" de ancho
$ STR2 = "pmslog.msi" de ancho
condición:
(UINT16 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y cualquiera de
ellas
Herramienta de proxy:
cadenas:
$ STR1 = {82 F4 DE D4 D3 C2 CA F5 C8 C8 D3 82 FB F4 DE D4 D3 C2 CA 94
95 FB D4 Dl C4 CF C8 D4 D3 89 C2 C2 DF 87 8A CC 87 00} // '% SystemRoot%
System32 svchost.exe -k 'xor A7
condición:
(Uint16 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uint16 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Herramienta de proxy:
cadenas:
$ STR2 = {8A 8B 04 17 FB 34 A7 46 88 02 83 C9 FF}
condición:
(Uintl6 (0) == 0x5A4D o uint16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
Uint32 (0) == 0x46445025 o Uint32 (1) == 0x6674725C) y $ STR2
Destructivo Herramienta unidad de disco duro:
cadenas:
$ Str0 = "MZ"
$ Str1 = {c6 84 24 ?? (00 | 01) 00 00}
$ XorInLoop = {83 CE 20 B9 08 00 00 00 33 D2 56 8B 74 24 30 57 24 08 8D 7C
F3 A5 8B 7C 24 30 85 FF 7E 3A 8B 74 24 2C 8A 44 24 08 53 24 21 4C 8A 8A
5C 24 2B 32 C1 8A 0C 32 32 C3 32 C8 88 0C 32 B9 1E 00 00 00 5C 8A 0C 88
0C 5C 0C 0D 49 83 F9 FF 7F F2 42 88 44 24 0C 3B D7 7C D0 5B 5F 5E 83 C4
20 C3}
condición:
$ Str0 a 0 y $ xorInLoop y # str1> 300
Destructivo herramienta de limpieza de destino:
cadenas:
$ S1 = {d3000000 [4] 2c000000 [12] 95000000 [4] 6a000000 [8]} 07000000
condición:
(Uintl6 (0) == 0x5A4D y uintl6 (uint32 (0x3C)) == 0x4550) y todos ellos
Destructivo herramienta de limpieza de destino:
cadenas:
$ SecureWipe = {83 CE 34 53 55 8B 6C 24 40 56 57 83 FF CE 55 C7 44 24
2C D3 00 00 00 44 24 30 C7 2C 00 00 00 89 74 24 34 89 74 24 38 44 24 C7
3C 95 00 00 00 C7 44 24 40 6 A 00 00 00 89 74 24 44 44 24 C7 14 07 00 00
00 FF 15 ?? ?? ?? ?? 3B C6 89 44 24 1C 0F 84 (D8 | d9) 01 00 00 33 FF 68 00 00 01 00 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF 89 5C 24 14 0F 84 (BC | BD) 01 00 00 8B 44 24 1C A8 01 74 0A 24 FE 50 55 FF 15 ?? ?? ?? ??
8B 44 24 4C 2B C7 74 20 48 74 0F 83 E8 02 75 1C C7 44 24 10 03 00 00 00
EB 12 C7 44 24 10 01 00 00 00 89 74 24 28 04 89 EB 7C 24 10 8B 44 24 10
89 7C 24 1C 3B C7 0F 8E (5C | 5d) 01 00 00 8D 44 24 28 89 44 24 03 83
4C EB FF CE 8B 4C 4C 8B 24 01 74 17 3B C6 8A B9 D0 00 40 00 00 8A 8B F2
FB 8B C2 C1 E0 10 66 8B C2 F3 AB EB (13 | 14) 33 F6 (E8 | ff 15) ?? ?? ?? ?? 88 04 1E 46 81 FE 00 00 01 00 7C (EF | ee) 6A 6A 00 00 03 6A 6A 6A 00 03 68 00 00 00 C0 55 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 0F 84 FA 00 00 00 44 24 20 8D 50 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A 02 6A 00 6A 56 FF FF D5 8D 4C 24 18 00 51 6A 6A 01 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
6A 6A 00 00 6A 00 56 FF D5 8B 44 24 24 8B 54 24 20 33 FF 33 DB 85 CO 7C
5A 7F 0A 85 D2 76 54 04 EB 8B 54 24 20 8B CA BD 00 00 01 00 2B CF 1B C3
85 C0 7F 0A 7C 04 3B CD 73 04 2B D7 8B EA 8B 44 24 14 54 24 18 8D 6A 00
52 55 50 56 FF 15 ?? ?? ?? ?? 8B 6C 24 18 8B 44 24 24 03 83 D3 00 FD 3B D8 7C BE 7F 08 8B 54 24 20 3B FA 72 B8 8B 2D ?? ?? ?? ?? 8B 5C 24 10 8B 7C 24 1C 8D 4B FF 3B F9 75 17 56 FF 15 ?? ?? ?? ?? 6A 00 6A 6A 00 00 56 FF D5 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 4C 8B 6C 24 48 47 83 04 C1 3B FB 8B 5C 24 14 89 7C 24 1C 89 24 4C 4C 0F 8C (AE | AD) FE FF FF 6A 00 55 E8 ?? ?? ?? ?? 83 C4 08 53 FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 83 34 C4 C3}
condición:
$ SecureWipe
Destructivo herramienta de limpieza de destino:
cadenas:
$ S1_CMD_Arg = "" / install '"' fullword
$ S2_CMD_Parse = "" ""% s '"' / install " "% s " "'"' fullword
$ S3_CMD_Builder = "" '"'% s " "" "% s " "" ""% s '"'% s '"' fullword
condición:
todos
Destructivo herramienta de limpieza de destino:
cadenas:
$ BATCH_SCRIPT_LN1_0 = "" goto x "" fullword
$ BATCH_SCRIPT_LN1_1 = '"' del" "fullword
$ BATCH_SCRIPT_LN2_0 = "" si existen "" fullword
$ BATCH_SCRIPT_LN3_0 = "": x '"' fullword
$ BATCH_SCRIPT_LN4_0 = "" zz% d.bat "'' fullword
condición:
(#BATCH_SCRIPT_LNl_l == 2) y todos ellos "
Destructivo herramienta de limpieza de destino:
cadenas:
$ MCU_DLL_ZLIB_COMPRESSED2 =
{5CECABAE813CC9BCD5A542F454910428343479806F71D5521E2AOD}
condición:
$ MCU_DLL_ZLIB_COMPRESSED2 "
Destructivo herramienta de limpieza de destino:
cadenas:
$ MCU_INF_StartHexDec =
{010346080A30D63633000B6263750A5052322A00103D1B570A30E67F2A00130952690A50 3A0D2A000E00A26El5104556766572636C7669642E657865}
$ MCU_INF_StartHexEnc =
{6C3272386958BF075230780A0A54676166024968790C7A6779588F5E47312739310163615B3D59686721CF5F2120263ElF5413531FlE004543544C55}
condición:
$ MCU_INF_StartHexEnc o
$ MCU_INF_StartHexDec
Destructivo herramienta de limpieza de destino:
cadenas:
$ = "SetFilePointer"
$ = "SetEndOfFile"
$ = {75 17 56 ff 15 ?? ?? ?? ?? 6a 00 6a 6a 00 00 56 ffD5 56 ff 15 ?? ?? ??
?? 56}
condición:
(UINT16 (0) == 0x5A4D y UINT16 (uint32 (0x3C)) == 0x4550) y todos ellos
Destructivo herramienta de limpieza de destino:
cadenas:
$ License =
{E903FFFF820050006F007200740069006F006E007300200063006F007000790072006900670068007400200052006F006200650072007400200064006500200042006100740068002C0020004A006F007200690073002000760061006E002000520061006E007400770069006A006B002C002000440065006C00690061006E000000000000000250000000000A002200CE000800EA03FFFF8200}
$ PuTTY = {50007500540054005900}
condición:
(Uint16 (0) == 0x5A4D y uintl6 (uint32 (0x3c)) == 0x4550) y $ licencia y no $ PuTTY
Malware utilizado por el actor amenaza cibernética:
cadenas:
$ HeapCreateFunction_0 =
{33C06A003944240868001000000F94C050FF15????????85C0A3???????07436E893FEFFFF83F803A3???????0750D68F8030000E8??00000059EB0A83F8027518E8????000085C0750FFF35???????0FF15???????033C0C36A0158C3}
$ HeapCreateFunction =
{558BECB82C120000E8????FFFF8D8568FFFFFF5350C78568FFFFFF94000000FF1????????085C0741A83BD78FFFFFF02751183BD6CFFFFFF0572086A0158E9020100008D85D4EDFFF68901000005068???????0FF15???????085C00F84D000000033DB8D8DD4EDFFFF389DD4EDFFFF74138A013C617C083C7A7F042C20880141381975ED8D85D4EDFFFF6A165068???????0E8????000083C40C85C075088D85D4EDFFFFEB498D8564FEFFFF68040100005053FF15???????0389D64FEFFFF8D8D64FEFFFF74138A013C617C083C7A7F042C20880141381975ED8D8564FEFFFF508D85D4EDFFFF50E8????????59593BC3743E6A2C50E8????????593BC3597430408BC83818740E80393B75048819EB0141381975F26A0A5350E8????000083C40C83F802741D83F803741883F80174138D45FC50E898FEFFFF807DFC06591BC083C0035BC9C3}
$ GetMajorMinorLinker =
{568B7424086A00832600FF15 ??????? 06681384D5A75148B483C85C9740D03C18A481A880E8A401B8846015EC3}
$ OpenServiceManager =
{FF15 ??? 0? 0? 08B? 885 ?? 74 ???????????????? 5? FF15 ??? 0? 0? 08B ????? 0? 0 ? 08BF? 85F? 74}
condición:
todos
Malware utilizado por el actor amenaza cibernética:
cadenas:
$ Cadena1 = "_Quit"
$ Str2 = "_exe"
$ Str3 = "_put"
$ STR4 = "_got"
$ Str5 = "_GET"
$ STR6 = "_ del"
$ STR7 = "_dir"
$ Str8 = {C7 44 24 18 1F F7}
condición:
(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Malware utilizado por el actor amenaza cibernética:
cadenas:
$ STR1 = {50 68 80 00 00 00 68 FF FF 00 00 51 C7 44 24 1C 3a 8b 00 00}
condición:
(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o
uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos
Prácticas de Seguridad Recomendadas
Debido a la funcionalidad altamente destructiva del malware, una
organización infectado con el malware podría experimentar impactos
operacionales, incluyendo la pérdida de la propiedad intelectual (IP) y
la interrupción de los sistemas críticos. Impacto real a las organizaciones puede variar dependiendo del tipo y número de sistemas afectados.
Mitigaciones tácticos
- Aplicación de los indicadores de compromiso dentro de sus sistemas para la detección y mitigación.
-
Anime a los usuarios transferir archivos críticos a recursos
compartidos de red, para permitir la central de copia de seguridad.
- Ejecutar copias de seguridad diarias de todos los sistemas críticos.
- Periódicamente ejecutar una copia de seguridad "fuera de línea" de los archivos importantes en un medio extraíble.
- Establecer planes de comunicaciones de emergencia deberían recursos de la red no están disponibles.
- Aislar las redes críticas (incluidas las redes de operaciones) de los sistemas de negocio.
- Identificar los sistemas críticos y evaluar la necesidad de tener repuestos a la mano para restaurar rápidamente el servicio.
- Asegúrese de antivirus está actualizado.
- Desactivar
el caché de credenciales para todos los dispositivos de escritorio, con
especial importancia en los sistemas críticos como servidores y
restringir el número de credencial de caché para todos los dispositivos
portátiles a no más de tres, si es posible. Esto se puede lograr a través de un objeto de directiva de grupo (GPO).
- Deshabilitar la ejecución automática y reproducción automática para cualquier dispositivo de medios extraíbles.
- Evitar
o limitar el uso de todos los dispositivos de medios extraíbles en
sistemas para limitar la propagación o introducción de software
malicioso y posibles datos exfiltración, excepto cuando haya un caso de
negocio válido para su uso. Este modelo de negocio debe ser
aprobada por la organización de TI Jefe Oficial de Seguridad, con la
política / orientación sobre cómo se deben utilizar estos medios de
comunicación.
- Considere la posibilidad de restringir privilegios de la cuenta. Nuestra
recomendación es que todas las operaciones diarias se deben ejecutar
utilizando cuentas de usuario estándar a menos que se requieren
privilegios administrativos para esa función específica. Configure
todas las cuentas de usuario estándar para prevenir la ejecución e
instalación de cualquier software desconocido o no autorizado. Tanto
las cuentas estándar y administrativos deben tener acceso sólo a los
servicios necesarios para las tareas diarias nominales, la aplicación
del concepto de separación de funciones. Por último, desactiva capacidades Web y de correo electrónico en las cuentas administrativas. Compromiso
de cuentas de administrador es un vector que permite la actividad
maliciosa se convierta verdaderamente persistente en un entorno de red.
-
Asegúrese de que la política de contraseñas reglas se aplican y valores
de contraseña de administrador se cambian periódicamente.
- Considere
la posibilidad de prohibir los ejércitos en el entorno de producción o
DMZ de compartir una empresa de Active Directory con hosts de otras
redes. Cada entorno debe tener bosques independientes
dentro de Active Directory, sin relaciones de confianza permitidas entre
los bosques, si es posible. Si es necesario, las
relaciones de confianza deben ser de un solo sentido con el medio
ambiente bajo la integridad confiar en el entorno de integridad más
alto.
- Considere la posibilidad de despliegue de una página de coaching con un clic a través de la aceptación; estos
son tradicionalmente desplegados en un entorno para registrar la
aceptación de la política de uso aceptable de la red o para notificar a
los usuarios de la vigilancia. Páginas de Entrenamiento también proporcionan cierto grado de protección contra la actividad maliciosa automatizado. Esto se debe a que el malware automatizado es normalmente incapaz de hacer clic en un botón radial físicamente aceptación. Automatizada
de malware es tradicionalmente codificado a ejecutar, a continuación,
recuperar comandos o ejecutables adicionales desde Internet. Si el malware es incapaz de iniciar una conexión activa, el tren lleno de infección es potencialmente detuvo. El
peligro existe todavía que el usuario va a autorizar el acceso físico,
sino a través de la utilización de páginas de entrenamiento, las
infecciones puede ser limitada o al menos la tasa de infección reducido.
-
Supervise los registros - Mantener y supervisar activamente una
solución de registro centralizado que mantiene un registro de toda la
actividad anómala y potencialmente malicioso.
-
Asegúrese de que todos los sistemas operativos de red, navegadores web y
otros equipos de red y software relacionado permanecen actualizados con
todos los parches y arreglos actuales.
Mitigaciones Estratégicos
- Las organizaciones deben revisar Consejo de Seguridad de Manejo destructiva Malware # ST13-003 y evaluar sus capacidades que abarcan la planificación, preparación, detección y respuesta para tal evento.
-
Siempre mantenga sus niveles de parches al día, sobre todo en equipos
que ofrezcan servicios públicos accesibles a través del cortafuegos,
como HTTP, FTP, correo y servicios de DNS.
- Construir
sistemas host, especialmente los sistemas críticos tales como
servidores, con aplicaciones y componentes sólo esenciales necesarios
para realizar la función deseada. Todas las aplicaciones o
funciones no utilizados deben ser removidos o desactivados, si es
posible, para limitar la superficie de ataque del huésped.
- Implementar segmentación de la red a través de V-LAN para limitar la propagación de malware.
-
Considere el despliegue de la política de restricción de software
creado exclusivamente para permitir la ejecución de un programa aprobado
(listas blancas de aplicaciones)
-
Recomendar la lista blanca de directorios ejecutables legítimos para
impedir la ejecución de binarios potencialmente maliciosos.
- Considere el uso de métodos de autenticación de dos factores para el acceso a cuentas o sistemas de nivel raíz privilegiados.
-
Considere la posibilidad de desplegar una autenticación de dos factores
a través de una puerta de enlace IPsec endurecida / VPN con túnel
dividido prohibida para el acceso remoto seguro.
- Denegar
el acceso directo a Internet, excepto a través de la utilización de
proxy para servidores y estaciones de trabajo de la empresa. Realizar el filtrado de contenido regular en las delegaciones o puntos de cortafuegos externos de presencia. Ten en cuenta también el despliegue de una política explícita contra proxy transparente.
-
Implementar una capacidad de inspección Secure Socket Layer (SSL) para
inspeccionar tanto el ingreso y egreso cifrado tráfico de red para la
actividad maliciosa potencial.
- Aislar
los servicios de red, tales como servidores de correo electrónico y
aplicaciones web mediante la utilización de una tecnología de
virtualización multi-tenant seguro. Esto limitará el daño sufrido de un compromiso o un ataque de un solo componente de red.
- Implementar
orientación sobre las mejores prácticas y políticas para restringir el
uso de los activos no de la Fundación para el procesamiento o acceder a
datos o sistemas controlados por la Fundación (por ejemplo, trabajar
desde casa, o usar un dispositivo personal, mientras que en la oficina).
Es difícil hacer cumplir las políticas corporativas,
detectar intrusiones, y realizar análisis forenses o remediar
compromisos en los dispositivos que no son propiedad de la misma
empresa.
- Minimizar la exposición de la red para todos los dispositivos del sistema de control. Los dispositivos del sistema de control no deben enfrentar directamente a Internet.
- Coloque las redes del sistema de control detrás de cortafuegos, y aislar o espacio de aire desde la red de negocios.
-
Cuando se requiere acceso remoto, utilice métodos seguros, como redes
privadas virtuales (VPNs), reconociendo que VPN es tan segura como los
dispositivos conectados.
-
Sistema de Control Industrial (ICS) -cert y US-CERT recuerdan las
organizaciones para llevar a cabo análisis de impacto adecuado y la
evaluación de riesgos antes de tomar medidas defensivas.