Casa > Cyber ​​Notizie > Tecniche prese in prestito dall'Umbrage Team della CIA da Shamoon, Altro malware
CYBER NEWS

Umbrage squadra della CIA Borrowed Tecniche da Shamoon, Altro malware

Uno dei più grandi scandali di 2017, quella che coinvolge Wikileaks e la CIA, sta aumentando di minuto in minuto. E 'ormai noto che una delle squadre della agenzia è specializzata in riutilizzare pezzi di codice e tecniche tratto da ... campioni di malware pubblici.

La squadra in questione è doppiato Umbrage e fa parte del Remote Branch di sviluppo sotto il centro della CIA per il Cyber ​​intelligenza. Il team mantiene una biblioteca di tecniche tratte dal reale malware utilizzato in attacchi effettivi nel selvaggio. Questa "conoscenza in prestito" viene applicata in una serie di progetti della CIA.

Che tipo di tecniche ha umbrage Preso in prestito dal Real-Life malware?

Il file asciugandosi implementazione del malware tergicristallo Shamoon è stato utilizzato. Come abbiamo scritto ieri, il malware tergicristallo è appena tornato con una seconda versione, insieme a un pezzo doppiato StoneDrill recentemente scoperto.

Correlata: StoneDrill, Shamoon 2.0: Wiper Malware Getting Better

prima edizione di Shamoon è stato utilizzato in uno spot, il driver con firma digitale chiamato rawdisk da una società denominata EldoS. Il driver consente applicazioni di sovrascrivere file anche se i file sono bloccati dai sistemi operativi. Ha solo bisogno di essere installato su un sistema.

Quello che il team ha fatto è stato Umbrage analizzare come i programmatori di Shamoon bypassato il controllo della licenza per il driver rawdisk e applicato la stessa tecnica la pulizia del disco nella loro Rebound proprio pezzo di nome. Ulteriori informazioni sono disponibili sul Wikileaks pagina.

Curiosamente, è ritenuto possibile che un programma anti-malware o anche un ricercatore di malware potrebbero incontrare Rimbalzo della CIA in natura e in realtà identificarlo come una variazione di Shamoon!

Oltre Shamoon, squadra speciale della CIA è stato anche utilizzando altre tecniche e frammenti di codice prese da malware conosciuto. Il repository ottenuto per Umbrage potrebbe essere utilizzato per una serie di motivi come la raccolta dei dati, invisibile, bypassando prodotti AV, persistenza, aumento dei privilegi, etc.

Correlata: Hacking Squadra Piazzole Anti-Encryption, Galileo Strumenti per l'FBI

Qui ci sono diversi altri esempi: una tecnica di persistenza è stata presa dal vedi rootkit; due tecniche anti-sandboxing sono stati presi in prestito da Trojan Upclicker e Exploit nucleare Confezione; una tecnica di cattura webcam è stata presa dal DarkComer RAT. È interessante notare che, altre tecniche sono state prese ma i pezzi esatte di malware sono state scattate da non sono stati specificati nei documenti.

I nomi in codice per alcuni dei progetti interni che utilizzavano il malware riproposti sono elencati. Tuttavia, non vi è quasi nessuna informazione su quello che effettivamente potevano fare. C'era una sola eccezione, tuttavia, soprannominata Sandshark. E 'stato trovato in un altro documento come software "Listening Post", NetworkWorld rapporti. Ciò nonostante, non è difficile supporre come le tecniche prese in prestito sono stati sfruttati in quanto è in qualche modo dedotta dalla loro funzionalità.

Non sorprende, Umbrage stato attirato anche dal codice trapelato dalla squadra Hacking in 2015.

Correlata: Parlare(un)R Proof-of-Concept malware trasforma le cuffie in Spies

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *