HDRoot Bootkit por Winnti Grupo Imita Microsoft comando net - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
eliminan la amenaza

HDRoot Bootkit por Winnti Grupo Imita Microsoft comando net

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

Los investigadores de Kaspersky Lab han publicado recientemente un informe, centrado en una campaña de ciberespionaje strategized por una organización de hackers conocido como el grupo Winnti. Winnti ha estado atacando las empresas en el campo de los videojuegos en línea desde 2009. La mala noticia es que el grupo está activo de nuevo, esta vez dirigido certificados digitales firmados por los proveedores de software grandes para llevar a cabo el robo de propiedad intelectual. El código fuente de varios proyectos de juego también está en peligro por el equipo de la piratería.

hdroot-rootkit Kaspersky STF

Fuente de la imagen: Lista Segura

¿Qué herramientas Winnti Emplear?

1.x Winnti 2.x

Según Kaspersky, el grupo ha estado utilizando una pieza de código malicioso que se llama Winnti así. Los investigadores han dividido todas las variantes de la herramienta en dos generaciones - 1.xy 2.x. Más acerca de la creación y el uso de Winnti de malware, se puede leer en el Winnti informe de la herramienta por SecureList.

HDRoot / HDD Rootkit
La nueva amenaza remonta al grupo Winnti se llama HDRoot y se basa en una 2006 instalador bootkit.

¿Qué es un Bootkit?

Un bootkit es un virus de arranque diseñado para enganchar y el parche de Windows, y luego conseguir cargado en el kernel de Windows. Debido a estas capacidades maliciosos, bootkit tiene acceso ilimitado a la máquina. Debido a que el Master Boot Record no está cifrado, un bootkit puede evitar el cifrado completo volumen.

HDRoot se describe como "una plataforma universal para una apariencia sostenible y persistente en un sistema objetivo '. Qué es peor, que se puede emplear como un punto de apoyo para la herramienta de cualquier hacker.

HDRoot se utiliza para el ciber-espionaje y robo de propiedad intelectual. Fue descubierto "por accidente" - cuando una muestra de malware llamó la atención de grandes (Investigación y Análisis Global de Kaspersky Lab). Lo que intrigó a los investigadores fue:

  • La forma en que esta pieza de malware en particular fue protegido con un comercial ejecutable VMProtect Win64 y firmado con un certificado comprometido que pertenece a una entidad china – Guangzhou YuanLuo Tecnología.
  • El hecho de que el malware ha sido falsificada para parecerse a una Comando Net net.exe de Microsoft.

HDRoot Capacidades maliciosos y Metas

Estos dos factores hacen que la muestra de malware bastante sospechosa. En una etapa posterior del análisis, Expertos de Kaspersky revelaron que el bootkit HDRoot podría ser utilizado para poner en marcha otras herramientas maliciosos. Para ser más específicos, Se identificaron dos tipos de malware de puerta trasera. Uno de ellos podría eludir la detección por el software profesional de anti-virus en Corea del Sur – AhnLab V3 Lite, AhnLab V3 de 365 Clínica y ALYac de ESTsoft. Por lo tanto, se llegó a una conclusión - el equipo Winnti utiliza la puerta de atrás para atacar objetivos en Corea del Sur.

Investigadores de Kaspersky consideran la probabilidad de que la organización Winnti tiene intereses primarios en el sudeste de Asia. Algunos de sus otros objetivos son probablemente situados en Japón, China, Bangladesh e Indonesia. Infecciones HDRoot también se han detectado en el Reino Unido y Rusia.

víctimas winnti - securelist

Fuente de la imagen: Lista Segura

La geografía de los objetivos está probablemente relacionado con el país atacantes casa Winnti y su interés en las entidades locales de software. Puede ser que los hackers querían obtener acceso a las empresas locales populares. Sin embargo, las razones que tenían (y todavía puede tener) No son bastante claro todavía.

Las investigaciones también considerar la posibilidad de que el Rootkit HDD ha sido creado por alguien que se unió al grupo Winnti, después de haber escrito el bookit. Otro escenario es que los hackers utilizan código de terceros, que estaba disponible en el mercado negro cibernético chino. Qué es más, Kaspersky vez visto el ataque de Winnti y empezó a analizarla, el grupo tomó de inmediato la acción y lo adaptó. El resultado - en un par de semanas, Se identificó una nueva variante de la amenaza. El ataque sigue siendo activo.

¿Cómo son los ataques Winnti / HDRoot Iniciado?

Los investigadores creen que la mayoría de los ataques se inician con un correo electrónico de phishing enviado a uno o más buzones de la empresa. Los mensajes de correo electrónico suelen contener archivos adjuntos maliciosos en autoextraíble o un archivo regular con un archivo ejecutable. No se ha observado la explotación de vulnerabilidades de día cero. Una vez que la empresa en cuestión es penetrada, el grupo Winnti carga un conjunto de herramientas en el equipo afectado y comienza la exploración de los recursos de la red.

Entonces, de que se intensifiquen los privilegios y localizar cualquier información que es valiosa en la empresa en particular. Siguiente, datos robados se exfiltraron en forma comprimida a una de control Winnti & servidores de comando. Para ello, una copia de la conexión del canal TCP a través de una cadena de aplicaciones TCP del proxy se utiliza, como se describe por los investigadores.

Según los investigadores de Kaspersky Lab, sus productos pueden bloquear con éxito HDRoot y proteger a los usuarios.

***

Para evitar ser comprometida por software malicioso, sostener una solución AV potente.

Descargar

Herramienta de eliminación de software malintencionado


SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

avatar

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...