Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
23 de Diciembre, 2014    General

SMB Worm Tool: la herramienta usada contra Sony

US-CERT fue notificado por un tercero de confianza que los delincuentes están usando un gusano que utiliza el protocolo Server Message Block (SMB) para llevar a cabo los ataques a la empresa Sony Pictures. De acuerdo al informe de US-CERT y el FBI, este SMB Worm Tool está "equipado" con cinco componentes diseñados para realizar distintos tipos de intrusión y ataques.


SMB Worm Tool utiliza un ataque de fuerza bruta para propagarse mediante el servicio de SMB en el puerto 445 sobre Windows. El gusano se conecta a casa cada cinco minutos para enviar el registro de datos obtenidos a su Centro de Comando y Control (C&C). La herramienta también acepta nuevos comandos y tareas desde el C&C: el primer subproceso llama a casa y envía registros de los comandos exitosos y el segundo subproceso intenta adivinar las contraseñas para las conexiones SMB. Si se acierta la contraseña, se establece un recurso compartido, se copia y se ejecuta un archivo para infectar al host.

Los cinco componentes de SMB Worm Tool son :
  • Componente de escucha: durante su instalación, una porción de los binarios es descifrada usando AES, con una llave que derivada de la frase "National Football League". A partir de este momento comienza a escuchar en el puerto TCP 195 (para "sensvc.exe" y "msensvc.exe") y en el puerto TCP 444 (para "netcfg.dll"). Cada mensaje enviado desde y hacia este componente es precedido con su longitud y una cadena codificada con XOR con el byte "0x1F". En la conexión inicial, la víctima envía la cadena "HTTP/1.1 GET /dns?" y el controlador responde con la cadena "200 www.yahoo.com! " (para "sensvc.exe" y "msensvc.exe") o con la cadena "RESPONSE 200 OK!!" (para "netcfg.dll"). El controlador envía el byte "!" (0x21) para poner fin a la conexión.
  • Backdoor: este componente está diseñado como un servicio DLL. Incluye funcionalidades tales como transferencia de archivos, relevamiento del sistema, manipulación de procesos y capacidades de proxy. El listener puede también realizar la ejecución de código arbitrario y ejecutar comandos. Esta herramienta incluye una función para abrir puertos en firewall de la víctima y sacar provecho de los mecanismos Plug and Play universal (UPNP) para descubrir routers y dispositivos de puerta de enlace, añadir puertos, permitir conexiones entrantes a la víctima, etc.
  • Proxy: este componente se instala como un servicio y se configura para escuchar en el puerto TCP 443 u otro configurable. Esta herramienta tiene funcionalidades básica de backdoor, incluida la capacidad de realizar un fingerprinting de la máquina víctima, ejecutar comandos remotos, realizar listados de directorios, realizar listados de procesos y transferencia de archivos.
  • Destrucción del disco: esta herramienta limpia disco el duro a medida que se pretende destruir los datos más allá del punto de recuperación y complicar la recuperación de la máquina de la víctima. El programa escribe sobre porciones de hasta las primeras cuatro unidades físicas y sobrescribir el registro Master Boot Record (MBR) con un programa diseñado para causar más daño si el disco es reiniciado. Si el agente sólo tiene acceso a nivel de usuario, el resultado incluye la eliminación de archivos específicos y la máquina víctima seguiría siendo utilizable.
  • Propagación en la red: este malware tiene la capacidad de propagarse en la red de a través de los recursos compartidos de Windows. Basado en la contraseña proporcionada en su archivo de configuración el malware tendrá acceso a recursos compartidos de red con el fin de cargar una copia del componente de destrucción y comenzar el proceso de limpieza en los sistemas remotos. El malware utiliza varios métodos para acceder a archivos compartidos en los sistemas remotos y comenzar a borrar archivos. La comprobación se realiza en "hostnamedmin$system32" y "hostnameshared$system32".
US-CERT dispones de una lista de los indicadores de compromiso (IOCs) que deben añadirse a las soluciones de seguridad de red para determinar si están presentes en una red.

La investigación sobre el ataque a Sony continúa y si bien Sony no ha proporcionado muchos detalles a la opinión pública, la empresa presuntamente está trabajando FireEye Mandiant en el aspecto de la investigación forense.

Fuente: US-CERT
Palabras claves , , , , ,
publicado por alonsoclaudio a las 22:42 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Septiembre 2017 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
19 Comentarios: NEGREDO, NEGREDO, wordhackers, [...] ...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad