elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Indetectable de malware híbrido ligado a la NSA mete radar Intel Seguridad
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Indetectable de malware híbrido ligado a la NSA mete radar Intel Seguridad  (Leído 2,767 veces)
Hason


Desconectado Desconectado

Mensajes: 790


Keep calm and use the spiritual force


Ver Perfil WWW
Indetectable de malware híbrido ligado a la NSA mete radar Intel Seguridad
« en: 14 Junio 2016, 02:01 am »

Mientras flash detecciones de malware Nastiness cuadruplican - estamos todos condenados

ataques ransomware CTB Locker aumentaron 165 por ciento en los tres primeros meses del año 2015.

Más de un tercio (35 por ciento) de las víctimas tenían su sede en Europa, informó McAfee Labs. CTB Locker cifra los archivos y las mantiene como rehenes hasta que se pagó el rescate. Como tal, el software de actividades ilegales es recoger el testigo que cayó con el derribo de la famosa estafa cryptolocker ransomware en mayo del año pasado.

La última edición de la Seguridad de Intel informe , publicado el martes, informa de ataques contra el firmware por primera vez. Más específicamente, el informe detalla los "ataques persistentes y prácticamente indetectables" por el llamado Grupo de ecuaciones que reprogramar las unidades de disco duro y firmware de la unidad de estado sólido.

    McAfee Labs evaluó los módulos de reprogramación expuestas en febrero y encontraron que podrían ser utilizados para reprogramar el firmware de los SSD, además de la capacidad de reprogramación HDD-informado anteriormente.

    Una vez reprogramado, el HDD y SSD puede volver a cargar el firmware malware asociado cada bota sistemas de tiempo infectados y el malware persiste incluso si las unidades son reformateadas o el sistema operativo se vuelve a instalar.

    Una vez infectado, el software de seguridad no puede detectar el malware asociado almacenado en un área oculta de la unidad.

Aunque no se identifica como tal por Intel Seguridad, el Grupo ecuación se ha ligado a las unidades de élite de la NSA, a través de la confirmación por ex empleados.

"Nos tomamos en Intel amenazas y vulnerabilidades de software-hardware híbridos en serio", dijo Vincent Weafer, vicepresidente senior de McAfee Labs. "Hemos seguido de cerca las dos pruebas académicas de concepto y en estado salvaje casos de malware con capacidades de firmware o de manipulación del BIOS, y estos ataques firmware Grupo Ecuación clasificar como algunas de las amenazas más sofisticadas de su especie. Si bien este tipo de malware ha sido históricamente desplegado por los ataques altamente orientados, las empresas deben prepararse para la aparentemente inevitable "" off-the-shelf "encarnaciones de este tipo de amenazas en el futuro.

Por último, banderas informe de investigación de la firma de seguridad de un brote de Adobe Flash explota la orientación vulnerabilidades sin parches. Nuevas muestras de malware detectadas Adobe Flash se dispararon a casi 200.000 en el 1er trimestre de 2015, un incremento del 317 por ciento de las 47.000 muestras detectadas en el último trimestre de 2014.

Cuarenta y dos nuevas vulnerabilidades de Flash se presentaron a la Base de Datos Nacional de vulnerabilidad en la Q1. El mismo día esas vulnerabilidades fueron publicadas, Adobe hizo arreglos iniciales disponibles para los 42 vulnerabilidades.

El contenido de grasa total, la versión de 45 páginas del informe de McAfee Labs se puede encontrar aquí (PDF). ®
Consejos y correcciones


Fuente original en ingles, donde puede descargarse el pdf:

http://www.theregister.co.uk/2015/06/09/nsa_firmware_sighted_ctb_ransomware/

Un saludo.


En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla
"Houston, tenemos un problema": los detalles y curiosidades tras uno de los mensajes de alarma más famosos de la historia
https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: Indetectable de malware híbrido ligado a la NSA mete radar Intel Seguridad
« Respuesta #1 en: 14 Junio 2016, 03:12 am »

He leído un rato el PDF del artículo original y bueno dejo mi opinión al respecto:

Este tipo de amenazas no son nuevas, siempre ha existido un tipo de malware que reside en el hardware, siendo así indetectable de lado del OS, puesto que las suites de seguridad auditan la seguridad de los OS no del hardware subyacente. No es lo mismo infectar un driver del sistema que el firmware de la placa base, la diferencia es que el driver sería detectado y el firmware no.

Debido a esto, los desarrolladores de firmware para BIOS idearon UEFI pensando en la seguridad e incluyeron Secure Boot. Al iniciar el sistema, antes de cargar el OS, si Secure Boot esta activo, la interfaz UEFI verificará mediante public key crypto si el archivo de arranque del OS fue modificado. Si la verificación es correcta pasará a cargar el archivo de arranque del OS y ya se carga el kernel del OS (Windows por ejemplo). Luego el OS verifica uno a uno la integridad de cada uno de los drivers del kernel.

Como vemos arriba, el eslabón más débil es el archivo de arranque (bootloader), el cual si es infectado el atacante puede saltarse las verificaciones pudiendo patchear un kernel driver y poder manipular cualquier extensión del OS, a esto se le conoce como rootkit, típicamente en MBR o GPT con Secure Boot desactivado.

La trama no acaba aquí, se han dado vulnerabilidades en ciertas versiones UEFI dónde el atacante es capaz de cambiar la clave pública insertando la suya propia, por lo tanto sólo tendría que crear un nuevo bootloader y firmarlo con su privada.

Vale, ahora que los desarrolladores de malware saben que UEFI con Secure Boot les parará los pies, se han dado cuenta de que flasheando el firmware de otros dispositivos, como discos HDD/SSD, consiguen que su código resida ahí, puesto que no se hacen checkeos de integridad del firmware de ningún dispositivo.

Resumiendo, hasta ahora los únicos checkeos de integridad que se realizan son los descritos arriba, checkeo de integridad del bootloader si Secure Boot está activo, y checkeo de integridad de los drivers del sistema una vez que el bootloader ha sido ejecutado.

Para que te flasheen el firmware del disco duro el atacante necesita distribuir un kernel driver, por lo tanto necesita privilegios dentro de tu sistema. Para ello el atacante junto a dicha distribución debe de adjuntar también un exploit de elevación de privilegios para poder subir al kernel. Un HIPS, y no digo Anti-Virus, sino detector de intrusos, puede detectar dichas ejecucciones, recomiendo un HIPS a todo el mundo que se preocupa realmente por su seguridad.

Saludos!


En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Hason


Desconectado Desconectado

Mensajes: 790


Keep calm and use the spiritual force


Ver Perfil WWW
Re: Indetectable de malware híbrido ligado a la NSA mete radar Intel Seguridad
« Respuesta #2 en: 14 Junio 2016, 03:55 am »

Muchas gracias por el aporte Kub0x, me leere detenidamente el pdf y tus comentarios ,que se me hace muy tarde.

Cada día se aprende un poquito más.

Un saludo.
En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla
"Houston, tenemos un problema": los detalles y curiosidades tras uno de los mensajes de alarma más famosos de la historia
https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines