Inicio de zonavirus, antivirus

Investigadores descubren malware usado en ciberataque a Sony Pictures

flacoroo
Wednesday, November 25, 2015

Willis McDonald y Loucif Kharouni, investigadores de Damballa, dicen que en el ataque realizado a Sony Pictures se utilizó un malware que después de haber eliminado información sensible pudo haber quedado oculto usando nuevas herramientas anti-forenses.



La pareja de investigadores encontró bastantes mejoras en la última versión de Destover, mejor conocido como el malware que en noviembre del año pasado borró datos a través de las estaciones de trabajo en Sony Pictures.



Estados Unidos culpó a Corea del Norte por tal ataque, pero Pyongyang niega tal acción.



Ahora McDonald y Kharouni dicen que los ataques realizados con el malware Destover (incluyendo el de Sony) utilizan herramientas para cambiar las marcas de tiempo de los archivos y modifican bitácoras.



"El troyano Destover se encarga de eliminar los archivos de un sistema infectado, haciéndolo inútil ... por razones ideológicas y políticas, no para obtener ganancias financieras", comentarón los investigadores.



"Mucho se reveló en las semanas y meses siguientes despues de los ataques, a excepción de cómo los atacantes pudieron permanecer sin ser detectados dentro de la red el tiempo suficiente para expandir su presencia y robarse Terabytes de información sensible."



Las herramientas incluyen a setMFT, que manipula las marcas de tiempo para despistar a los investigadores a menos que los archivos se comparen con bitácoras y fechas, y a afset, que puede borrar bitácoras de Windows basadas en el tiempo y la identidad y alterar el tiempo de elaboración de un ejecutable y el checksum; la utilidad de esta última es muy valiosa para los atacantes pues permitiría borrar sus huellas mientras se mueven a través de las redes corporativas.



"Un análisis forense completo de un sistema revelaría la presencia de afset y de las actividades perdidas de las bitácoras, pero es probable que esta actividad pueda pasar desapercibida en un estado inicial de la infección, creando un alto riesgo de permanencia de la misma".



Sony Pictures entró en bloqueo después de la infracción en la que terabytes de datos confidenciales fueron robados, la mayoría de los cuales terminaron en línea.



http://www.seguridad.unam.mx/noticia/?noti=2638

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto