• Pesquisadores Descobrem Novo Toolset Ligado ao Malware "Wiper"

    Publicado em 25-11-2015 19:00
    0 Comentários Comentários
    Através de um levantamento que foi realizado, pesquisadores descobriram a existência de dois novos utilitários que estão intimamente associados com o malware Wiper, que foi usado para comprometer o desempenho das redes de computadores da Sony Pictures Entertainment no ano passado. Depois de práticas de phishing para obter informações de login dos funcionários, os criminosos cibernéticos responsáveis pela violação utilizaram uma variante de malware Wiper conhecido como "Destover", com a intenção de limpar os arquivos off de estações de trabalho da empresa, e dessa forma, tornando-os inoperantes. Desde então, muito foi revelado sobre a violação, exceto em relação à forma como os atacantes foram capazes de permanecer dentro da rede o tempo suficiente para realizar a exfiltração de terabytes de informação, algumas dos quais eles postaram on-line, um mês após a sua intrusão inicial. Na semana passada, no entanto, Willis McDonald e Loucif Kharouni, pesquisadores de ameaças seniores na empresa de proteção contra ameaças Damballa, publicaram um post no qual eles explicam sobre o funcionamento de duas ferramentas que os atacantes utilizaram para evitar a detecção em redes da Sony.


    Ambos os utilitários tiveram demonstrações de uso, e eles foram chamados de "setMFT" e "afset". O "SetMFT" é usado para copiar as configurações de data e hora a partir de um arquivo de origem no disco para um arquivo de destino, também chamado timestomping. Timestomping é uma técnica que, ao ser combinada com arquivos de nome semelhante, permite que um arquivo possa misturar-se em um diretório. Uma investigação forense em datas de registro dos arquivos e, possivelmente, referente aos arquivos de log, pode revelar que um determinado arquivo sofreu um "timestomped"; sem essa análise, no entanto, é possível, de forma bastante fácil, esconder arquivos através da técnica referida a partir de uma rápida verificação de arquivos maliciosos.

    Saiba Mais:

    [1] Tripwire http://www.tripwire.com/state-of-sec...-researchers/#
    + Enviar Comentário