Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
24 de Diciembre, 2014    General

Malware que destruyo a SONY



Alerta (TA14-353A)

Malware destructivo

Original fecha de lanzamiento: 19 de diciembre de 2014 | Última revisado : 20 de diciembre 2014

Sistemas afectados

Microsoft Windows

Visión de conjunto

US-CERT fue notificada recientemente por un tercero de confianza de los agentes de amenaza cibernética utilizando un servidor de mensajes Herramienta Block (SMB) Gusano para llevar a cabo las actividades de explotación cibernéticos recientemente dirigidas a una importante compañía de entretenimiento. Esta herramienta Gusano SMB está equipado con un Implante Escuchar, ligero Backdoor, herramienta de proxy, destructiva herramienta de disco duro y destructivo herramienta de limpieza de destino.

Gusano SMB Herramienta: Este gusano utiliza un ataque de autenticación de la fuerza bruta para propagarse a través de acciones de Windows SMB. Se conecta a casa cada cinco minutos para enviar los datos de registro de nuevo a comando y control (C2) infraestructura si se ha extendido con éxito a otros hosts de Windows a través del puerto SMB 445. La herramienta también acepta nuevas tareas de exploración cuando se conecta al C2. Hay dos hilos principales: la primera rosca llama a casa y devuelve los registros (una lista de explotaciones pequeñas y medianas empresas de éxito), y el segundo hilo intenta adivinar contraseñas para conexiones SMB. Si la contraseña se adivina correctamente, se establece un recurso compartido de archivos y el archivo se copia y se ejecuta en el host recién infectada.

Escuchar Implante: Durante la instalación de esta herramienta, una parte de los binarios se descifra utilizando AES, con una clave derivada de la frase "la Liga Nacional de Fútbol Americano." Además, este implante recibe las conexiones en el puerto TCP 195 (para "sensvc.exe" y "msensvc.exe") y el puerto TCP 444 (para "netcfg.dll"). Cada mensaje enviado a y desde este implante está precedida con su longitud, a continuación, XOR codificado con el byte de 0x1F. Tras la conexión inicial, la víctima envía la cadena, "HTTP / 1.1 GET / dns? X00". Entonces el controlador responde con la cadena "200 www.yahoo.com! X00" (de "sensvc.exe" y "msensvc.exe") o con la cadena "RESPUESTA 200 OK !!" (Para "netcfg.dll"). El controlador envía el byte "!" (0x21) para finalizar la conexión de red. Este mensaje especial no está precedida con una longitud o XOR codificado.

Backdoor Ligero: Este es un oyente de puerta trasera que está diseñado como un DLL servicio. Incluye funciones como la transferencia de archivos, sistema de encuesta, la manipulación de proceso, tiempo de identificación de archivos y capacidad de proxy. El oyente también puede realizar la ejecución de código arbitrario y ejecutar comandos en la línea de comandos. Esta herramienta incluye la funcionalidad para abrir puertos en el firewall de un host víctima y tomar ventaja de Plug and Play universal (UPnP) mecanismos para descubrir routers y dispositivos de puerta de enlace, y agregar las asignaciones de puerto, lo que permite conexiones de entrada a los ejércitos de víctimas en direcciones de red Traducido (NAT) privado redes. No hay dominios de devolución de llamada asociados a este malware ya que las conexiones son de entrada sólo en un número de puerto especificado.

Herramienta Proxy: Implantes en esta familia de malware son típicamente carga a través de un gotero instalado como un servicio, entonces configurado para escuchar en el puerto TCP 443. El implante puede tener un archivo de configuración asociada que puede contener un puerto configurable. Esta herramienta proxy tiene funcionalidad de puerta trasera básica, incluyendo la capacidad de las huellas digitales de la máquina de la víctima, ejecutar comandos remotos, realice los listados de directorios, realice los listados de procesos, y transferir archivos.

Herramienta destructiva Disco Duro: Esta herramienta es una herramienta de disco duro limpiando a medida que se pretende destruir los datos más allá del punto de recuperación y para complicar la recuperación de la máquina de la víctima. Si el operador CNE tiene privilegios de administrador en el host, el programa sobre-escribir partes de arriba-a las cuatro primeras unidades físicas adjunto, y sobre-escribir el registro de inicio maestro (MBR) con un programa diseñado para causar daño adicional si el disco duro se vuelve a arrancar. Esto resulta aún más en el equipo de la víctima no siendo operativa con datos irrecuperables (No es una advertencia para las máquinas instaladas con las ventanas del sistema operativo: Windows 7 7 máquinas continuarán funcionando en un estado degradado con los archivos específicos destruidos hasta después de reiniciar el sistema, en que el MBR infectado y luego limpia el coche.) Si el actor tiene acceso a nivel de usuario, el resultado incluye los archivos específicos que se eliminan y prácticamente irrecuperables, pero el equipo de la víctima permanecería utilizable.

Útiles de limpieza destructiva Objetivo: Esta herramienta hace que las máquinas víctimas inoperables al sobrescribir el Master Boot Record. La herramienta se cae e instalado por otro ejecutable y consta de tres partes: un ejecutable y un archivo DLL que contiene los componentes destructivos, y un archivo de comandos codificado que contiene comandos de la destrucción real de ser ejecutado.

Red Propagación Wiper: El malware tiene la capacidad de propagarse a través de la red de destino a través de una función de recursos compartidos de Windows. Basado en el nombre de usuario / contraseña proporcionada en el archivo de configuración y el nombre de host / dirección IP de los sistemas de destino, el malware accederá a recursos compartidos de red a distancia para subir una copia del limpiaparabrisas y comenzar el proceso de limpieza en estos sistemas remotos. El malware utiliza varios métodos para acceder a recursos compartidos en los sistemas remotos para comenzar limpiando archivos. Comprobación de acciones existentes a través de " nombre de host admin $ system32 "y" nombre de host shared $ system32 "o crear un nuevo recurso compartido" cmd.exe / q / c net share compartido $ =% SystemRoot% / GRANT: todos, FULL ". Una vez conseguido, el malware carga una copia del archivo de limpiaparabrisas "taskhostXX.exe", cambia el tiempo de archivo para que coincida con el archivo "calc.exe" incorporado, e inicia el proceso a distancia. El proceso remoto se inicia a través del comando "cmd.exe / c wmic.exe / nodo: el nombre de host / usuario: nombre de usuario / contraseña: pase PROCESO DE LLAMADA CREAR". Nombre de host, nombre de usuario y contraseña se obtendrán a partir del archivo de configuración. Posteriormente, el recurso compartido de red remoto se elimina a través de "cmd.exe / q / c net share $ compartida / delete". Una vez que el limpiaparabrisas se ha subido, el malware informa sobre su estado de nuevo a una de las cuatro direcciones IP C2.

Recomendaciones de mitigación técnicas y estratégicas se incluyen en la sección Solución de abajo.

US-CERT recomienda revisar el Consejo de Seguridad de manipulación destructiva Malware # ST13-003 .

Descripción

Actores amenaza cibernética están utilizando un gusano de SMB para llevar a cabo las actividades de explotación cibernéticos. Esta herramienta contiene cinco componentes - un implante de escucha, de puerta trasera ligero, herramienta proxy, destructiva de la herramienta del disco duro y de la herramienta de limpieza objetivo destructivo.

El gusano se propaga a través de SMB una red infectada a través de ataques de autenticación de fuerza bruta, y se conecta a una infraestructura de C2.

Impacto

Debido a la funcionalidad altamente destructivo de este malware, una organización infectados podrían experimentar impactos operacionales, incluyendo la pérdida de la propiedad intelectual y la alteración de los sistemas críticos.

Solución

Los usuarios y administradores se les recomienda tomar las siguientes medidas preventivas para proteger sus redes de computadoras:

  • Utilizar y mantener el software anti-virus - El software anti-virus reconoce y protege el ordenador contra los virus más conocidos. Es importante mantener su software anti-virus actualizados (consulte Descripción de Software Anti-Virus para más información).
  • Mantenga su sistema operativo y software de aplicación hasta al fecha - Instale los parches de software para que los atacantes no puedan tomar ventaja de problemas conocidos o vulnerabilidades. Muchos sistemas operativos ofrecen actualizaciones automáticas. Si esta opción está disponible, usted debe habilitarlo (consulte Descripción de parches para obtener más información).
  • Revisión Consejo de Seguridad de manipulación destructiva Malware # ST13-003 y evaluar sus capacidades que abarcan la planificación, preparación, detección y respuesta para tal evento.
  • Revisar las prácticas recomendadas para los sistemas de control y Mejora Industrial Sistemas de Control de Seguridad Cibernética con estrategias de defensa en profundidad (pdf).

La siguiente es una lista de los indicadores de Compromiso (IOC) que se pueden agregar a la red de soluciones de seguridad para determinar si están presentes en una red.

MD5s:

SMB herramienta gusano:

MD5: f6f48551d7723d87daeef2e840ae008f

Caracterización: File Hash lista

Notas: "herramienta gusano SMB"

Apertura de tiempo de compilación PE: 20141001T072107Z

Los más recientes El PE tiempo de compilación: 20141001T072107Z

MD5: 194ae075bf53aa4c83e175d4fa1b9d89

Caracterización: File Hash lista

Notas: "herramienta gusano SMB"

Apertura de tiempo de compilación PE: 20141001T120954Z

Los más recientes El PE tiempo de compilación: 20141001T142138Z

Puerta trasera Peso ligero:

MD5: f57e6156907dc0f6f4c9e2c5a792df48

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20110411T225224Z

Últimas tiempo de compilación PE: 20110411T225224Z

MD5: 838e57492f632da79dcd5aa47b23f8a9

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20110517T050015Z

Últimas tiempo de compilación PE: 20110605T204508Z

MD5: 11c9374cea03c3b2ca190b9a0fd2816b

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20110729T062417Z

Últimas tiempo de compilación PE: 20110729T062958Z

MD5: 7fb0441a08690d4530d2275d4d7eb351

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20120128T071327Z

Últimas tiempo de compilación PE: 20120128T071327Z

MD5: 7759c7d2c6d49c8b0591a3a7270a44da

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20120309T105837Z

Últimas tiempo de compilación PE: 20120309T105837Z

MD5: 7e48d5ba6e6314c46550ad226f2b3c67

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20120311T090329Z

Últimas tiempo de compilación PE: 20120311T090329Z

MD5: 0a87c6f29f34a09acecce7f516cc7fdb

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20120325T053138Z

Últimas tiempo de compilación PE: 20130513T090422Z

MD5: 25fb1e131f282fa25a4b0dec6007a0ce

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20130802T054822Z

Últimas tiempo de compilación PE: 20130802T054822Z

MD5: 9761dd113e7e6673b94ab4b3ad552086

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20130913T013016Z

Últimas tiempo de compilación PE: 20130913T013016Z

MD5: c905a30badb458655009799b1274205c

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20140205T090906Z

Últimas tiempo de compilación PE: 20140205T090906Z

MD5: 40adcd738c5bdc5e1cc3ab9a48b3df39

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20140320T152637Z

Últimas tiempo de compilación PE: 20140402T023748Z

MD5: 68a26b8eaf2011f16a58e4554ea576a1

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20140321T014949Z

Últimas tiempo de compilación PE: 20140321T014949Z

MD5: 74982cd1f3be3d0acfb0e6df22dbcd67

Caracterización: File Hash lista

Notas: "puerta trasera Ligera"

Apertura de tiempo de compilación PE: 20140506T020330Z

Últimas tiempo de compilación PE: 20140506T020330Z

Herramienta Proxy:

MD5: 734740b16053ccc555686814a93dfbeb

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140611T064905Z

Últimas tiempo de compilación PE: 20140611T064905Z

MD5: 3b9da603992d8001c1322474aac25f87

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140617T035143Z

Últimas tiempo de compilación PE: 20140617T035143Z

MD5: e509881b34a86a4e2b24449cf386af6a

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140618T064527Z

Últimas tiempo de compilación PE: 20140618T064527Z

MD5: 9ab7f2bf638c9d911c2c742a574db89e

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140724T011233Z

Últimas tiempo de compilación PE: 20140724T011233Z

MD5: a565e8c853b8325ad98f1fac9c40fb88

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140724T065031Z

Últimas tiempo de compilación PE: 20140902T135050Z

MD5: 0bb82def661dd013a1866f779b455cf3

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140819T024812Z

Últimas tiempo de compilación PE: 20140819T024812Z

MD5: b8ffff8b57586d24e1e65cd0b0ad9173

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140902T172442Z

Últimas tiempo de compilación PE: 20140902T172442Z

MD5: 4ef0ad7ad4fe3ef4fb3db02cd82bface

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20141024T134136Z

Últimas tiempo de compilación PE: 20141024T134136Z

MD5: eb435e86604abced7c4a2b11c4637a52

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140526T010925Z

Últimas tiempo de compilación PE: 20140526T010925Z

MD5: ed7a9c6d9fc664afe2de2dd165a9338c

Caracterización: File Hash lista

Notas: "herramienta Proxy"

Apertura de tiempo de compilación PE: 20140611T064904Z

Destructivo herramienta de disco duro:

MD5: 8dec36d7f5e6cbd5e06775771351c54e

Caracterización: File Hash lista

Notas: "herramienta de disco duro destructivo"

Apertura de tiempo de compilación PE: 20120507T151820Z

Últimas tiempo de compilación PE: 20120507T151820Z

MD5: a385900a36cad1c6a2022f31e8aca9f7

Caracterización: File Hash lista

Notas: "herramienta de limpieza objetivo destructivo"

Apertura de tiempo de compilación PE: 20130318T003315Z

Últimas tiempo de compilación PE: 20130318T003315Z

MD5: 7bea4323807f7e8cf53776e24cbd71f1

Caracterización: File Hash lista

Notas: "herramienta de limpieza objetivo destructivo"

Apertura de tiempo de compilación PE: 20130318T003319Z

Últimas tiempo de compilación PE: 20130318T003319Z

Nombre: d1c27ee7ce18675974edf42d4eea25c6.bin

Tamaño: 268579 bytes (268.6 KB)

MD5: D1C27EE7CE18675974EDF42D4EEA25C6

PE tiempo de compilación: 22/11/2014 00:06:54

El malware tiene las siguientes características:

Mientras que el nombre original de este archivo es desconocido, era probable "diskpartmg16.exe". Este archivo sirve como un cuentagotas. Cae el malware destructivo: "igfxtrayex.exe". Cuando se ejecuta el archivo cuentagotas, comenzó una segunda instancia de sí mismo con "i" como argumento, y luego termina. La segunda instancia del archivo gotero se instaló como el servicio "WinsSchMgmt" con "k" como un argumento de línea de comandos, inicie el servicio, y luego termina. El servicio "WinsSchMgmt" ejecuta el archivo con "k" como argumento, que inicia otra instancia del archivo con "-s" como argumento. El "-s" instancia cayó y ejecutado "igfxtrayex.exe", creado "net_ver.dat", y comenzó a generar tráfico de red a través de puertos TCP 445 y 139 a la víctima direcciones IP.

Nombre: net_ver.dat

Tamaño: bytes 4572 (4.6 KB) (tamaño variará)

MD5: 93BC819011B2B3DA8487F964F29EB934 (hash variará)

Este es un archivo de registro creado por el gotero, y anexa a como las exploraciones progresan Contiene lo que parecen ser los nombres de host, direcciones IP, y las entradas número 2. En el archivo tiene la estructura "HOSTNAME | Dirección IP | 2".

Nombre: igfxtrayex.exe

Tamaño: 249856 bytes (249.9 KB)

MD5: 760C35A80D758F032D02CF4DB12D3E55

PE tiempo de compilación: 24/11/2014 04:11:08

Este es un archivo de malware destructivo: un limpiador de disco con capacidades de baliza red. Si "igfxtrayex.exe" se ejecuta sin parámetros, se crea e inicia una copia de sí mismo con el argumento de la "i". Después de 10 minutos, el "igfxtrayex.exe" hace tres copias de sí mismo y los coloca en el mismo directorio desde el que fue ejecutado. Estas copias se denominan de acuerdo con el formato "taskhostXX.exe" (donde X es un carácter ASCII generado aleatoriamente). Estas copias se ejecutan entonces, cada uno con un argumento diferente (uno de ellos "-m", uno de ellos "-d" y el otro "w"). Los intentos de conexión de red se hacen para una de las tres direcciones IP no modificables en un orden aleatorio al puerto 8080 o 8000. Si una conexión con la dirección IP no se puede hacer, intenta conectarse a otra de las tres direcciones IP, hasta conexiones a las tres direcciones IP se han intentado. La siguiente cadena de línea de comandos se ejecuta a continuación: "cmd.exe / c net stop MSExchangeIS / y". Se emite un comando sleep 120 minutos (2 horas) después de que el ordenador está apagado y reiniciado.

Nombre: iissvr.exe

Tamaño: 114688 bytes (114.7 KB)

MD5: E1864A55D5CCB76AF4BF7A0AE16279BA

PE tiempo de compilación: 11/13/2014 02:05:35

Este archivo, cuando se ejecuta, se inicia un oyente en el puerto localhost 80. Tiene 3 archivos contenidos en la sección de recursos; todo con XOR con 0x63.

Nombre: usbdrv3_32bit.sys

Tamaño: 24,280 bytes (24.3 KB)

MD5: 6AEAC618E29980B69721158044C2E544

PE tiempo de compilación: 2009-08-21 06:05:32

Este archivo SYS es una herramienta disponible en el mercado que permite / escribir archivos y sectores del disco primas para las aplicaciones en modo de usuario en Windows 2000, XP, 2003, Vista, 2008 (32-bit) leer. Se bajó de ID de recurso 0x81 de "igfxtrayex.exe".

Nombre: usbdrv3_64bit.sys

Tamaño: 28,120 bytes (28.1 KB)

MD5: 86E212B7FC20FC406C692400294073FF

PE tiempo de compilación: 2009-08-21 06:05:35

Este archivo SYS es un también una herramienta disponible en el mercado que permite la lectura / escritura de acceso a archivos y sectores del disco primas para las aplicaciones en modo de usuario en Windows 2000, XP, 2003, Vista, 2008 (64-bit). Se bajó de ID de recurso 0x83 de "igfxtrayex.exe".

Nombre: igfxtpers.exe

Tamaño: 91,888 bytes (91.9 KB)

MD5: e904bf93403c0fb08b9683a9e858c73e

PE tiempo de compilación: 07/07/2014 08:01:09

Un resumen de las direcciones IP C2:

Dirección IP País Puerto Nombre Del Archivo
203.131.222.102 Tailandia 8080 Diskpartmg16.exe
igfxtrayex.exe
igfxtpers.exe
217.96.33.164 Polonia 8000 Diskpartmg16.exe
igfxtrayex.exe
88.53.215.64 Italia 8000 Diskpartmg16.exe
igfxtrayex.exe
200.87.126.116 Bolivia 8000 -
58.185.154.99 Singapur 8080 -
212.31.102.100 Ciprés 8080 -
208.105.226.235 Estados Unidos - igfxtpers.exe

Firmas de Snort:

Herramienta Gusano SMB (no necesariamente la propia herramienta):

tcp alerta a cualquier -> any any (msg: "Wiper 2"; sid: 42000002; rev: 1; flujo: establecido; contenido: "| c9 06 d9 fc 37 23 5a fe f9 40 ba 4c 94 14 98 96 |" ; profundidad: 16; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Wiper 3"; sid: 42000003; rev: 1; flujo: establecido; contenido: "| aa 64 ba f2 56 |"; profundidad: 50; ClassType: bad-desconocido; )

ip alerta a cualquier -> any any (msg: "Wiper 4"; sid: 42000004; rev: 1; contenido: "| aa 74 ba f2 b9 75 |"; profundidad: 74; ClassType: bad-desconocido;)

tcp alerta a cualquier -> cualquier [8000,8080] (msg: "Wiper 5"; sid: 42000005; rev: 1; flujo: establecido, to_server; DSIZE: 42; byte_test: 2, =, 40,0, poco; contenido: "| 04 00 00 00 |"; profundidad: 4; offset: 38; ClassType: bad-desconocido;)

Escuchar Implante:

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 1"; sid: 42000006; rev: 1; flujo: establecido; contenido: "| 1f 0c 1f 1f 4d 4c 5a 4f 50 51 4c 2d 3f 5a 2f 2f 3f 50 54 3e 3e 3e | "; profundidad: 22; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 2"; sid: 42000007; rev: 1; flujo: establecido; contenido: "| c4 d3 d2 d1 d2 cf ce c4 a1 b1 b3 b1 a1 a0 ce ca a0 a0 | "; profundidad: 18; ClassType: bad-desconocido;)

ip alerta a cualquier -> any any (msg: "Escuchar Implante 3"; sid: 42000008; rev: 1; contenido: "| 17 08 14 13 67 0F 13 13 17 67 15 02 16 12 02 14 13 78 47 47 | "; profundidad: 24; ClassType: bad-desconocido;)

ip alerta a cualquier -> any any (msg: "Escuchar Implante 4"; sid: 42000009; rev: 1; contenido: "| 4f 50 4c 4b 3f 57 4b 4b 4f 3f 4d 5a 4e 4a 5a 4c 4b 20 1f |" ; profundidad: 23; ClassType: bad-desconocido;)

alerta ip any any -> any any (msg: "Escuchar Implante 5"; sid: 42000010; rev: 1; contenido: "| 15 02 14 17 08 09 14 02 67 75 77 77 67 08 0C 66 66 66 |"; profundidad: 22; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 6"; sid: 42000011; rev: 1; flujo: establecido; contenido: "| 09 22 33 30 28 35 2c |"; fast_pattern: solamente; ClassType: mal -unknown;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 7"; sid: 42000012; rev: 1; flujo: establecido; contenido: "| 13 2f 22 35 22 67 26 35 22 29 27 33 67 28 37 22 29 67 37 28 35 33 34 69 | "; fast_pattern: solamente; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 8"; sid: 42000013; rev: 1; flujo: establecido; contenido: "| 43 47 47 47 45 67 47 47 43 47 47 47 44 67 47 47 | "; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implante 9"; sid: 42000014; rev: 1; flujo: establecido; contenido: "| 43 47 47 47 42 67 47 47 43 47 47 47 67 47 47 4f 43 47 47 47 43 67 47 47 43 47 47 47 67 47 47 4e | "; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implant 10"; sid: 42000015; rev: 1; flujo: establecido; contenido: "| ce d1 d2 d5 a1 c9 d5 d5 d1 a1 d3 d4 c4 c4 d0 d2 d5 ser | "; profundidad: 18; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implant 11"; sid: 42000016; rev: 1; flujo: establecido; contenido: "| 17 08 14 13 67 0F 13 13 17 67 15 02 16 12 02 14 13 78 | "; profundidad: 18; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Escuchar Implant 12"; sid: 42000017; rev: 1; flujo: establecido; contenido: "| 0c 1f 1f 1f 4f 50 4c 4b 3f 57 4b 4b 4f 3f 4d 5a 4e 4a 5a 4c 4b 20 | "; ClassType: bad-desconocido;)

Backdoor Peso ligero:

alerta tcp cualquier 488 -> any any (msg: "Ligero Backdoor 1"; sid: 42000018; rev: 1; flujo: establecido, from_server; contenido: "| 60 db 37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType: bad-desconocido;)

alerta tcp cualquier cualquier -> cualquier 488 (msg: "Ligero Backdoor 2"; sid: 42000019; rev: 1; flujo: establecido, to_server; contenido: "| 60 db 37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 3"; sid: 42000020; rev: 1; flujo: establecido; contenido: "| 4c 4c |"; profundidad: 2; offset: 16; contenido: "| 75 14 2a 2a | "; distancia: 4; en: 4; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 4"; sid: 42000021; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 67 80 f2 24 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 24 80 f2 ea 67 88 10 |"; ClassType: bad-desconocido;)

alerta tcp cualquier 488 -> any any (msg: "Ligero Backdoor 5"; sid: 42000022; rev: 1; flujo: establecido, from_server; contenido: "| 65 db 37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType: bad-desconocido;)

alerta tcp cualquier cualquier -> cualquier 488 (msg: "Ligero Backdoor 6"; sid: 42000023; rev: 1; flujo: establecido, to_server; contenido: "| 65 db 37 37 37 37 37 37 |"; fast_pattern: solamente; ClassType: bad-desconocido;)

tcp alerta a la [547,8080,133,117,189,159] -> any any (msg: "Ligero Backdoor 7"; sid: 42000024; rev: 1; flujo: establecido, from_server; contenido: "| 7b 08 2a 2a |"; offset: 17; contenido: "| 08 2a 2a 01 00 |"; distancia: 0; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 8"; sid: 42000025; rev: 1; flujo: establecido; contenido: "| 8a 10 80 62 80 ea f2 b4 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 f2 b4 80 c2 62 88 10 |"; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 9"; sid: 42000026; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 4e 80 f2 79 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 79 80 f2 ea 4e 88 10 |"; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Ligero Backdoor 10"; sid: 42000027; rev: 1; flujo: establecido; contenido: "Sleepy @ # qaz13402scvsde890!"; fast_pattern: solamente; contenido: "BC435 @ PRO62384923412! ! @ 3 "; nocase; ClassType: bad-desconocido;)

Herramienta de proxy:

tcp alerta a cualquier -> any any (msg: "Herramienta Proxy 1"; sid: 42000028; rev: 1; flujo: establecido; contenido: "| 8a 10 80 c2 3a 80 f2 73 88 10 |"; fast_pattern: solamente; contenido: "| 8a 10 80 73 80 f2 ea 3a 88 10 |"; ClassType: bad-desconocido;)

! tcp alerta a cualquier -> any any (msg: "Herramienta de proxy 2"; sid: 42000029; rev: 1; flujo: establecido; contenido: "HTTP / 1"; contenido: "| e2 1d 49 49 |"; profundidad : 4; fast_pattern; contenido: "| 49 49 49 49 |"; distancia: 4; en: 4; ClassType: bad-desconocido;)

tcp alerta a cualquier -> any any (msg: "Proxy Tool 3"; sid: 42000030; rev: 1; flujo: establecido; contenido: "| 82 f4 de d4 d3 c2 ca c8 f5 c8 d3 82 fb f4 de d4 d3 c2 ca 94 95 fb d4 d1 c4 cf c8 d4 d3 89 c2 c2 df 87 8a cc 87 00 | "; fast_pattern: solamente; ClassType: bad-desconocido;)

Malware asociado con el actor amenaza cibernética:

tcp alerta a cualquier -> cualquier [8000,8080] (msg: "WIPER4"; flujo: establecido, to_server; DSIZE: 42; contenido: "| 28 00 |"; profundidad: 2; contenido: "| 04 00 00 00 | "; offset: 38; profundidad: 4; sid: 123;)

Anfitrión Indicadores de Base

A continuación se presentan los posibles firmas YARA para detectar los binarios de malware en máquinas host:

SMB Gusano Herramienta:

cadenas:

$ Str1 = "Global FwtSqmSession106829323_S-1.5.19"

$ STR2 = "TODOS"

$ Str3 = "! Llyid y0uar3 @ s! 07, ou74n60u7f001"

$ STR4 = " KB25468.dat" condición:

(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STR1 = '' NetMgStart "

$ STR2 = '' Netmgmt.srg "

condición:

(UINT16 (0) == 0x5A4D) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STR1 = ancho nocase ascii "prxTroy"

condición:

(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STRL = {C6 45 E8 64 C6 45 E9 61 C6 45 EA 79 C6 45 EB 69 C6 45 CE, 70 C6 45 ED 6D C6 45 EE 72 C6 45 EF 2E C6 45 F0 74 C6 45 F1 62 C6 45 F2 6C} / / 'dayipmr.tbl' se trasladó a ebp

condición:

(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uint16 (0) == 0xC3D4 o

uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STRL = {C6 45 F4 61 C6 45 F5 6E C6 45 F6 73 C6 45 F7 69 C6 45 F8 2E C6 45 F9 6E C6 45 FA 6C C6 45 FB 73} // 'ansi.nls' se trasladó a ebp

condición:

(Uint16 (0) == 0x5A4D o uint16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o

uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STRL = {C6 45 F4 74 C6 45 F5 6C C6 45 F6 76 C6 45 F7 63 C6 45 F8 2E C6 45 F9 6E C6 45 FA 6C C6 45 FB 73} // 'tlvc.nls' se trasladó a ebp

condición:

(UINT16 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Backdoor Peso ligero:

cadenas:

$ STR1 = {8A 10 80 ?? 4E 80 ?? 79 88 10}

$ STR2 = {SA 10 80 ?? 79 80 ?? 4E 88 10}

condición:

(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o UINT16 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Herramienta de proxy:

cadenas:

$ STR1 = "pmsconfig.msi" de ancho

$ STR2 = "pmslog.msi" de ancho

condición:

(UINT16 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y cualquiera de ellas

Herramienta de proxy:

cadenas:

$ STR1 = {82 F4 DE D4 D3 C2 CA F5 C8 C8 D3 82 FB F4 DE D4 D3 C2 CA 94 95 FB D4 Dl C4 CF C8 D4 D3 89 C2 C2 DF 87 8A CC 87 00} // '% SystemRoot% System32 svchost.exe -k 'xor A7

condición:

(Uint16 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uint16 (0) == 0xC3D4 o

uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Herramienta de proxy:

cadenas:

$ STR2 = {8A 8B 04 17 FB 34 A7 46 88 02 83 C9 FF}

condición:

(Uintl6 (0) == 0x5A4D o uint16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o Uint32 (0) == 0x46445025 o Uint32 (1) == 0x6674725C) y $ STR2

Destructivo Herramienta unidad de disco duro:

cadenas:

$ Str0 = "MZ"

$ Str1 = {c6 84 24 ?? (00 | 01) 00 00}

$ XorInLoop = {83 CE 20 B9 08 00 00 00 33 D2 56 8B 74 24 30 57 24 08 8D 7C

F3 A5 8B 7C 24 30 85 FF 7E 3A 8B 74 24 2C 8A 44 24 08 53 24 21 4C 8A 8A 5C 24 2B 32 C1 8A 0C 32 32 C3 32 C8 88 0C 32 B9 1E 00 00 00 5C 8A 0C 88 0C 5C 0C 0D 49 83 F9 FF 7F F2 42 88 44 24 0C 3B D7 7C D0 5B 5F 5E 83 C4 20 C3}

condición:

$ Str0 a 0 y $ xorInLoop y # str1> 300

Destructivo herramienta de limpieza de destino:

cadenas:

$ S1 = {d3000000 [4] 2c000000 [12] 95000000 [4] 6a000000 [8]} 07000000

condición:

(Uintl6 (0) == 0x5A4D y uintl6 (uint32 (0x3C)) == 0x4550) y todos ellos

Destructivo herramienta de limpieza de destino:

cadenas:

$ SecureWipe = {83 CE 34 53 55 8B 6C 24 40 56 57 83 FF CE 55 C7 44 24 2C D3 00 00 00 44 24 30 C7 2C 00 00 00 89 74 24 34 89 74 24 38 44 24 C7 3C 95 00 00 00 C7 44 24 40 6 A 00 00 00 89 74 24 44 44 24 C7 14 07 00 00 00 FF 15 ?? ?? ?? ?? 3B C6 89 44 24 1C 0F 84 (D8 | d9) 01 00 00 33 FF 68 00 00 01 00 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF 89 5C 24 14 0F 84 (BC | BD) 01 00 00 8B 44 24 1C A8 01 74 0A 24 FE 50 55 FF 15 ?? ?? ?? ?? 8B 44 24 4C 2B C7 74 20 48 74 0F 83 E8 02 75 1C C7 44 24 10 03 00 00 00 EB 12 C7 44 24 10 01 00 00 00 89 74 24 28 04 89 EB 7C 24 10 8B 44 24 10 89 7C 24 1C 3B C7 0F 8E (5C | 5d) 01 00 00 8D 44 24 28 89 44 24 03 83 4C EB FF CE 8B 4C 4C 8B 24 01 74 17 3B C6 8A B9 D0 00 40 00 00 8A 8B F2 FB 8B C2 C1 E0 10 66 8B C2 F3 AB EB (13 | 14) 33 F6 (E8 | ff 15) ?? ?? ?? ?? 88 04 1E 46 81 FE 00 00 01 00 7C (EF | ee) 6A 6A 00 00 03 6A 6A 6A 00 03 68 00 00 00 C0 55 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 0F 84 FA 00 00 00 44 24 20 8D 50 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A 02 6A 00 6A 56 FF FF D5 8D 4C 24 18 00 51 6A 6A 01 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A 6A 00 00 6A 00 56 FF D5 8B 44 24 24 8B 54 24 20 33 FF 33 DB 85 CO 7C 5A 7F 0A 85 D2 76 54 04 EB 8B 54 24 20 8B CA BD 00 00 01 00 2B CF 1B C3 85 C0 7F 0A 7C 04 3B CD 73 04 2B D7 8B EA 8B 44 24 14 54 24 18 8D 6A 00 52 55 50 56 FF 15 ?? ?? ?? ?? 8B 6C 24 18 8B 44 24 24 03 83 D3 00 FD 3B D8 7C BE 7F 08 8B 54 24 20 3B FA 72 B8 8B 2D ?? ?? ?? ?? 8B 5C 24 10 8B 7C 24 1C 8D 4B FF 3B F9 75 17 56 FF 15 ?? ?? ?? ?? 6A 00 6A 6A 00 00 56 FF D5 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 4C 8B 6C 24 48 47 83 04 C1 3B FB 8B 5C 24 14 89 7C 24 1C 89 24 4C 4C 0F 8C (AE | AD) FE FF FF 6A 00 55 E8 ?? ?? ?? ?? 83 C4 08 53 FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 83 34 C4 C3}

condición:

$ SecureWipe

Destructivo herramienta de limpieza de destino:

cadenas:

$ S1_CMD_Arg = "" / install '"' fullword

$ S2_CMD_Parse = "" ""% s '"' / install " "% s " "'"' fullword

$ S3_CMD_Builder = "" '"'% s " "" "% s " "" ""% s '"'% s '"' fullword

condición:

todos

Destructivo herramienta de limpieza de destino:

cadenas:

$ BATCH_SCRIPT_LN1_0 = "" goto x "" fullword

$ BATCH_SCRIPT_LN1_1 = '"' del" "fullword

$ BATCH_SCRIPT_LN2_0 = "" si existen "" fullword

$ BATCH_SCRIPT_LN3_0 = "": x '"' fullword

$ BATCH_SCRIPT_LN4_0 = "" zz% d.bat "'' fullword

condición:

(#BATCH_SCRIPT_LNl_l == 2) y todos ellos "

Destructivo herramienta de limpieza de destino:

cadenas:

$ MCU_DLL_ZLIB_COMPRESSED2 =

{5CECABAE813CC9BCD5A542F454910428343479806F71D5521E2AOD}

condición:

$ MCU_DLL_ZLIB_COMPRESSED2 "

Destructivo herramienta de limpieza de destino:

cadenas:

$ MCU_INF_StartHexDec =

{010346080A30D63633000B6263750A5052322A00103D1B570A30E67F2A00130952690A50 3A0D2A000E00A26El5104556766572636C7669642E657865}

$ MCU_INF_StartHexEnc =

{6C3272386958BF075230780A0A54676166024968790C7A6779588F5E47312739310163615B3D59686721CF5F2120263ElF5413531FlE004543544C55}

condición:

$ MCU_INF_StartHexEnc o

$ MCU_INF_StartHexDec

Destructivo herramienta de limpieza de destino:

cadenas:

$ = "SetFilePointer"

$ = "SetEndOfFile"

$ = {75 17 56 ff 15 ?? ?? ?? ?? 6a 00 6a 6a 00 00 56 ffD5 56 ff 15 ?? ?? ??

?? 56}

condición:

(UINT16 (0) == 0x5A4D y UINT16 (uint32 (0x3C)) == 0x4550) y todos ellos

Destructivo herramienta de limpieza de destino:

cadenas:

$ License =

{E903FFFF820050006F007200740069006F006E007300200063006F007000790072006900670068007400200052006F006200650072007400200064006500200042006100740068002C0020004A006F007200690073002000760061006E002000520061006E007400770069006A006B002C002000440065006C00690061006E000000000000000250000000000A002200CE000800EA03FFFF8200}

$ PuTTY = {50007500540054005900}

condición:

(Uint16 (0) == 0x5A4D y uintl6 (uint32 (0x3c)) == 0x4550) y $ licencia y no $ PuTTY

Malware utilizado por el actor amenaza cibernética:

cadenas:

$ HeapCreateFunction_0 = {33C06A003944240868001000000F94C050FF15????????85C0A3???????07436E893FEFFFF83F803A3???????0750D68F8030000E8??00000059EB0A83F8027518E8????000085C0750FFF35???????0FF15???????033C0C36A0158C3}

$ HeapCreateFunction =

{558BECB82C120000E8????FFFF8D8568FFFFFF5350C78568FFFFFF94000000FF1????????085C0741A83BD78FFFFFF02751183BD6CFFFFFF0572086A0158E9020100008D85D4EDFFF68901000005068???????0FF15???????085C00F84D000000033DB8D8DD4EDFFFF389DD4EDFFFF74138A013C617C083C7A7F042C20880141381975ED8D85D4EDFFFF6A165068???????0E8????000083C40C85C075088D85D4EDFFFFEB498D8564FEFFFF68040100005053FF15???????0389D64FEFFFF8D8D64FEFFFF74138A013C617C083C7A7F042C20880141381975ED8D8564FEFFFF508D85D4EDFFFF50E8????????59593BC3743E6A2C50E8????????593BC3597430408BC83818740E80393B75048819EB0141381975F26A0A5350E8????000083C40C83F802741D83F803741883F80174138D45FC50E898FEFFFF807DFC06591BC083C0035BC9C3}

$ GetMajorMinorLinker =

{568B7424086A00832600FF15 ??????? 06681384D5A75148B483C85C9740D03C18A481A880E8A401B8846015EC3}

$ OpenServiceManager =

{FF15 ??? 0? 0? 08B? 885 ?? 74 ???????????????? 5? FF15 ??? 0? 0? 08B ????? 0? 0 ? 08BF? 85F? 74}

condición:

todos

Malware utilizado por el actor amenaza cibernética:

cadenas:

$ Cadena1 = "_Quit"

$ Str2 = "_exe"

$ Str3 = "_put"

$ STR4 = "_got"

$ Str5 = "_GET"

$ STR6 = "_ del"

$ STR7 = "_dir"

$ Str8 = {C7 44 24 18 1F F7}

condición:

(Uintl6 (0) == 0x5A4D o uintl6 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Malware utilizado por el actor amenaza cibernética:

cadenas:

$ STR1 = {50 68 80 00 00 00 68 FF FF 00 00 51 C7 44 24 1C 3a 8b 00 00}

condición:

(Uintl6 (0) == 0x5A4D o UINT16 (0) == 0xCFD0 o uintl6 (0) == 0xC3D4 o uint32 (0) == 0x46445025 o uint32 (1) == 0x6674725C) y todos ellos

Prácticas de Seguridad Recomendadas

Debido a la funcionalidad altamente destructiva del malware, una organización infectado con el malware podría experimentar impactos operacionales, incluyendo la pérdida de la propiedad intelectual (IP) y la interrupción de los sistemas críticos. Impacto real a las organizaciones puede variar dependiendo del tipo y número de sistemas afectados.

Mitigaciones tácticos

  • Aplicación de los indicadores de compromiso dentro de sus sistemas para la detección y mitigación.
  • Anime a los usuarios transferir archivos críticos a recursos compartidos de red, para permitir la central de copia de seguridad.
  • Ejecutar copias de seguridad diarias de todos los sistemas críticos.
  • Periódicamente ejecutar una copia de seguridad "fuera de línea" de los archivos importantes en un medio extraíble.
  • Establecer planes de comunicaciones de emergencia deberían recursos de la red no están disponibles.
  • Aislar las redes críticas (incluidas las redes de operaciones) de los sistemas de negocio.
  • Identificar los sistemas críticos y evaluar la necesidad de tener repuestos a la mano para restaurar rápidamente el servicio.
  • Asegúrese de antivirus está actualizado.
  • Desactivar el caché de credenciales para todos los dispositivos de escritorio, con especial importancia en los sistemas críticos como servidores y restringir el número de credencial de caché para todos los dispositivos portátiles a no más de tres, si es posible. Esto se puede lograr a través de un objeto de directiva de grupo (GPO).
  • Deshabilitar la ejecución automática y reproducción automática para cualquier dispositivo de medios extraíbles.
  • Evitar o limitar el uso de todos los dispositivos de medios extraíbles en sistemas para limitar la propagación o introducción de software malicioso y posibles datos exfiltración, excepto cuando haya un caso de negocio válido para su uso. Este modelo de negocio debe ser aprobada por la organización de TI Jefe Oficial de Seguridad, con la política / orientación sobre cómo se deben utilizar estos medios de comunicación.
  • Considere la posibilidad de restringir privilegios de la cuenta. Nuestra recomendación es que todas las operaciones diarias se deben ejecutar utilizando cuentas de usuario estándar a menos que se requieren privilegios administrativos para esa función específica. Configure todas las cuentas de usuario estándar para prevenir la ejecución e instalación de cualquier software desconocido o no autorizado. Tanto las cuentas estándar y administrativos deben tener acceso sólo a los servicios necesarios para las tareas diarias nominales, la aplicación del concepto de separación de funciones. Por último, desactiva capacidades Web y de correo electrónico en las cuentas administrativas. Compromiso de cuentas de administrador es un vector que permite la actividad maliciosa se convierta verdaderamente persistente en un entorno de red.
  • Asegúrese de que la política de contraseñas reglas se aplican y valores de contraseña de administrador se cambian periódicamente.
  • Considere la posibilidad de prohibir los ejércitos en el entorno de producción o DMZ de compartir una empresa de Active Directory con hosts de otras redes. Cada entorno debe tener bosques independientes dentro de Active Directory, sin relaciones de confianza permitidas entre los bosques, si es posible. Si es necesario, las relaciones de confianza deben ser de un solo sentido con el medio ambiente bajo la integridad confiar en el entorno de integridad más alto.
  • Considere la posibilidad de despliegue de una página de coaching con un clic a través de la aceptación; estos son tradicionalmente desplegados en un entorno para registrar la aceptación de la política de uso aceptable de la red o para notificar a los usuarios de la vigilancia. Páginas de Entrenamiento también proporcionan cierto grado de protección contra la actividad maliciosa automatizado. Esto se debe a que el malware automatizado es normalmente incapaz de hacer clic en un botón radial físicamente aceptación. Automatizada de malware es tradicionalmente codificado a ejecutar, a continuación, recuperar comandos o ejecutables adicionales desde Internet. Si el malware es incapaz de iniciar una conexión activa, el tren lleno de infección es potencialmente detuvo. El peligro existe todavía que el usuario va a autorizar el acceso físico, sino a través de la utilización de páginas de entrenamiento, las infecciones puede ser limitada o al menos la tasa de infección reducido.
  • Supervise los registros - Mantener y supervisar activamente una solución de registro centralizado que mantiene un registro de toda la actividad anómala y potencialmente malicioso.
  • Asegúrese de que todos los sistemas operativos de red, navegadores web y otros equipos de red y software relacionado permanecen actualizados con todos los parches y arreglos actuales.

Mitigaciones Estratégicos

  • Las organizaciones deben revisar Consejo de Seguridad de Manejo destructiva Malware # ST13-003 y evaluar sus capacidades que abarcan la planificación, preparación, detección y respuesta para tal evento.
  • Siempre mantenga sus niveles de parches al día, sobre todo en equipos que ofrezcan servicios públicos accesibles a través del cortafuegos, como HTTP, FTP, correo y servicios de DNS.
  • Construir sistemas host, especialmente los sistemas críticos tales como servidores, con aplicaciones y componentes sólo esenciales necesarios para realizar la función deseada. Todas las aplicaciones o funciones no utilizados deben ser removidos o desactivados, si es posible, para limitar la superficie de ataque del huésped.
  • Implementar segmentación de la red a través de V-LAN para limitar la propagación de malware.
  • Considere el despliegue de la política de restricción de software creado exclusivamente para permitir la ejecución de un programa aprobado (listas blancas de aplicaciones)
  • Recomendar la lista blanca de directorios ejecutables legítimos para impedir la ejecución de binarios potencialmente maliciosos.
  • Considere el uso de métodos de autenticación de dos factores para el acceso a cuentas o sistemas de nivel raíz privilegiados.
  • Considere la posibilidad de desplegar una autenticación de dos factores a través de una puerta de enlace IPsec endurecida / VPN con túnel dividido prohibida para el acceso remoto seguro.
  • Denegar el acceso directo a Internet, excepto a través de la utilización de proxy para servidores y estaciones de trabajo de la empresa. Realizar el filtrado de contenido regular en las delegaciones o puntos de cortafuegos externos de presencia. Ten en cuenta también el despliegue de una política explícita contra proxy transparente.
  • Implementar una capacidad de inspección Secure Socket Layer (SSL) para inspeccionar tanto el ingreso y egreso cifrado tráfico de red para la actividad maliciosa potencial.
  • Aislar los servicios de red, tales como servidores de correo electrónico y aplicaciones web mediante la utilización de una tecnología de virtualización multi-tenant seguro. Esto limitará el daño sufrido de un compromiso o un ataque de un solo componente de red.
  • Implementar orientación sobre las mejores prácticas y políticas para restringir el uso de los activos no de la Fundación para el procesamiento o acceder a datos o sistemas controlados por la Fundación (por ejemplo, trabajar desde casa, o usar un dispositivo personal, mientras que en la oficina). Es difícil hacer cumplir las políticas corporativas, detectar intrusiones, y realizar análisis forenses o remediar compromisos en los dispositivos que no son propiedad de la misma empresa.
  • Minimizar la exposición de la red para todos los dispositivos del sistema de control. Los dispositivos del sistema de control no deben enfrentar directamente a Internet.
  • Coloque las redes del sistema de control detrás de cortafuegos, y aislar o espacio de aire desde la red de negocios.
  • Cuando se requiere acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPNs), reconociendo que VPN es tan segura como los dispositivos conectados.
  • Sistema de Control Industrial (ICS) -cert y US-CERT recuerdan las organizaciones para llevar a cabo análisis de impacto adecuado y la evaluación de riesgos antes de tomar medidas defensivas.

Referencias

Las revisiones

  • 19 de diciembre 2014: Initial Release
Palabras claves ,
publicado por alonsoclaudio a las 00:19 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Octubre 2017 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
23 Comentarios: HACKERS, HACKERS, clinton, [...] ...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad