Casa > Ciber Noticias > El equipo PLATINUM aprovecha el Hotpatching de Microsoft, restos encubierta
CYBER NOTICIAS

Hotpatching PLATINUM equipo exploits de Microsoft, restos encubierta

800px-platino-pepita platino de la pepita. Fuente de la imagen: Wikipedia

Hay básicamente dos tipos de equipos de hackers. El primer tipo es después de ganancia rápida, números de tarjetas de crédito de cosecha y datos bancarios. El segundo tipo es más peligroso, a pesar de que no puede afectar directamente a la situación financiera de las víctimas, ya que se concentra en el espionaje a largo plazo.

Por otra parte, los objetivos de este tipo de equipos de hackers suelen ser organizaciones gubernamentales, las agencias de inteligencia y de defensa, o incluso los ISP.

Historias relacionadas:
Hot Potato Exploit versiones recientes de Windows pone en peligro la
Cómo solucionar problemas con Windows Update
El usuario de Windows Biblia de Seguridad sobre actualizaciones y Defectos

Ahora, imagina que hay un equipo de piratería en particular que ha estado atacando a todo lo anterior, y ha sido tan persistente que incluso amenaza equipo de caza de Microsoft Windows Defender avanzada no es tan cerca de la identificación del equipo.

Una mirada hacia los ataques de piratería del equipo PLATINUM

Este equipo piratería ha sido etiquetado PLATINUM, siguiendo la tradición de nombrar los grupos de amenazas después de compuestos químicos de Microsoft.

miembros de Platinum han aplicado numerosas técnicas a través del tiempo, y han explotado muchas vulnerabilidades de día cero para romper en el sistema de víctimas e infectar sus redes. Microsoft acaba de publicar un informe detallado que describe el armamento de PLATINO, y que se haya publicado en el microsoft Technet.

Una de las técnicas es particularmente interesante – que emplea las capacidades de Windows’ contra… Ventanas. Se llama revisiones en caliente:

Revisiones en caliente es una característica del sistema operativo apoyado previamente para instalar actualizaciones sin tener que reiniciar o reiniciar un proceso de. Se requiere permisos de administrador, y en un nivel alto, un hotpatcher puede aplicar parches de forma transparente a los ejecutables y archivos DLL en los procesos que se ejecutan de forma activa.

Hotpatching de Microsoft Apalancamiento

Hotpatching se introdujo originalmente en Windows Server 2003. El equipo de piratería informática avanzada ha utilizado revisiones en caliente en contra de Windows Server 2003, Paquete de servicio 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista y Windows 7. Revisiones en caliente no está disponible en Windows 8 nunca más, mientras Windows 10 No es propenso a este tipo de ataques en todo.

La investigación de Microsoft señala que el platino ha estado activo desde 2009, dirigidas principalmente a las organizaciones gubernamentales, agencias de inteligencia y los proveedores de telecomunicaciones en el sur y el sudeste asiático.

El grupo ha desarrollado y avanzado, no es de extrañar, subrepticios técnicas que les ayudan a no ser detectados y exitosa en todos los ataques. Lo peor es que “silenciosas” campañas de espionaje cibernético puede estar sucediendo en un periodo de tiempo prolongado, sin la más mínima sospecha.

Una de las muestras investigadas por la MS del equipo de profesionales no sólo apoyó Hotpatching sino que también fue capaz de aplicar las técnicas de inyección de código más comunes, incluyendo el enumeran a continuación, en los procesos comunes de Windows como winlogon.exe, lsass.exe y svchost.exe:

CreateRemoteThread
NtQueueApcThread para ejecutar una APC en un hilo en el proceso de destino
RtlCreatUserThread
NtCreateThreadEx

Estaba Realmente tomó por sorpresa?

Como ha señalado Arstechnica, la comunidad de TI se advirtió sobre el empleo de las revisiones en caliente en los escenarios maliciosos en 2013 al de SyScan. Esto es cuando el investigador de seguridad Alex Ionescu describe las formas revisiones en caliente podría aplicarse a modificar los sistemas para inyectar malware sin la necesidad de DLL inyectables. Los investigadores tuiteó recientemente que “mi de SyScan 2012 Hotpatching ataque ahora se utiliza en la naturaleza!", la vinculación con el artículo de Technet de Microsoft sobre Platinum.

Microsoft está todavía “cavando en busca de Platino”. Obviamente, no tienen idea de quién está tirando de las cuerdas de estas operaciones de espionaje cibernético persistente. Aún no está claro por qué la compañía no hizo nada para evitar ataques Hotpatching. La amenaza de caza equipo Windows Defender avanzada debería haber visto venir definitivamente.

Por no mencionar que en 2006, durante la conferencia Sombrero Negro, investigador de seguridad Alex Sotirov describe el funcionamiento interno de revisiones en caliente y también habló sobre cómo los terceros habían sugerido parches para las vulnerabilidades de Windows antes de la liberación de correcciones oficiales.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo