Wikileaks publica información de dos malwares de la CIA

Iniciado por HATI, Mayo 17, 2017, 12:54:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 17, 2017, 12:54:42 PM Ultima modificación: Mayo 17, 2017, 01:25:01 PM por HATI

WikiLeaks publicó un nuevo lote de información de la CIA, detallando dos aparentes frameworks de malware desarrollados por la "Compañia"y para la plataforma Microsoft Windows. Este lote es el octavo lanzamiento de la serie Vault 7.


AfterMidnight

Apodado "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" y "Assassin", ambos programas de malware están diseñados para supervisar y reportar acciones en un equipo  remoto infectado y ejecutar acciones malintencionadas especificadas por la CIA.


Según WikiLeaks, AfterMidnight permite a sus operadores ejecutar malware en un sistema remoto. El controlador principal se disfrazada como un archivo dinámico de Windows (DLL) y ejecuta "Gremlins", que son pequeños payload que permanecen ocultos y prestan diversos "servicios" a otros Gremlins.

Una vez instalado en una máquina, AfterMidnight utiliza un sistema llamado "Octupus" HTTPS-based Listening Post (LP) para comprobar si hay eventos programados. Si se encuentra uno, el malware descarga y almacena todos los componentes necesarios y los nuevos Gremlins en memoria.

De acuerdo con laNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta, el almacenamiento local relacionado con AfterMidnight se cifra con una clave que no se almacena en la máquina destino. Un payload especial, llamado "AlphaGremlin", contiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutar en el sistema infectado.


Assassin

Assassin es similar a AfterMidnight y se describe como "un implante automatizado que proporciona una plataforma de recolección de información en equipos remotos que se ejecuta el sistema operativo Microsoft Windows".

Una vez instalado, esta herramienta ejecuta un implante dentro de un proceso de servicio de Windows, permitiendo a los operadores realizar tareas maliciosas en la máquina infectada.

Assassin consta de cuatro subsistemas: Builder, Implant, Command & Control, y ListeningPost (LP).

El "Implante" proporciona la lógica y la funcionalidad básicas de esta herramienta en una máquina Windows víctima, incluidas las comunicaciones y la ejecución de tareas. Se configura mediante el Builder y se despliega en un equipo de destino a través de algún vector no definido.

El "Builder" permite configurar el Implante antes de la implementación y proporciona una interfaz de línea de comandos personalizada para establecer su configuración.

El subsistema "Comando & Control" actúa como una interfaz entre el operador y el Listening Post (LP), mientras que este LP permite al Implante comunicarse con el subsistema de comando y control a través de un servidor web.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Jugar o perder
Mayo 17, 2017, 02:32:08 PM #1
Un muy mal año para Microsoft Windows hasta los momentos...
\x11\x12\x13
Mayo 19, 2017, 03:52:39 PM #2
Uno de estos era el que usaba el Crypter  Wannacry
Imprimir
Ir Arriba Páginas1
Acciones del Usuario