Una vez que la provincia de piratas informáticos nación patrocinada, en memoria de malware va la corriente principal. Hace dos años, los investigadores de Kaspersky Lab con sede en Moscú descubrieron su red corporativa estaba infectado con malware que se parecía a nada que hubieran visto. Prácticamente la totalidad de los programas maliciosos residía únicamente en la memoria de los ordenadores afectados, una hazaña que había permitido a la infección por no ser detectados durante seis meses o más. Kaspersky finalmente descubrió evidencia de que Duqu 2.0, como el malware nunca antes visto fue apodado, fue derivado de Stuxnet, el altamente sofisticado gusano informático según los informes, creado por los EE.UU. e Israel para sabotear el programa nuclear de Irán.
Ahora, sin archivo de malware son la tendencia, ya que los hackers criminales motivados financieramente imitan a sus contrapartes nación-patrocinado. De acuerdo con la investigación de Kaspersky Lab tiene previsto publicar miércoles redes que pertenecen a por lo menos 140 bancos y otras empresas han sido infectados por el malware que se basa en el mismo diseño en memoria de permanecer casi invisible. Debido a que las infecciones son tan difíciles de detectar, el número real es probablemente mucho mayor. Otro rasgo que hace que las infecciones difíciles de detectar es el uso de sistemas administrativos y de seguridad, incluyendo herramientas PowerShell, Metasploit, y legítimos, y ampliamente utilizados Mimikatz-inyectar el malware en la memoria del ordenador.
"Lo que es interesante aquí es que estos ataques están en curso a nivel mundial contra los propios bancos", dijo a expertos de Kaspersky Lab Kurt Baumgartner Ars. "Los bancos no se han preparado adecuadamente en muchos casos para hacer frente a esto." Él continuó diciendo que la gente detrás de los ataques están "empujando el dinero de los bancos desde el interior de los bancos", apuntando a los equipos que ejecutan los cajeros automáticos.
Las 140 organizaciones no identificadas que han sido infectados residen en 40 países diferentes, con los EE.UU., Francia, Ecuador, Kenia y el Reino Unido siendo los cinco más afectados. Los investigadores de Kaspersky Lab aún no saben si un solo grupo de personas está detrás de los ataques, o si están siendo llevadas a cabo por bandas en competencia de hackers. El uso de los dominios de malware y en servidores de comando sin archivo que no están asociados con los datos whois hace que la ya difícil tarea de atribución casi imposible.
CONTRASEÑA RECOLECCIÓN
Los investigadores descubrieron por primera vez que el malware a finales del año pasado, cuando el equipo de seguridad de un banco encontró una copia de Meterpreter-un componente en la memoria de Metasploit que residen dentro de la memoria física de un controlador de dominio de Microsoft. Después de realizar un análisis forense, los investigadores encontraron que el código Meterpreter se descargó y se inyecta en la memoria mediante los comandos de PowerShell. La máquina infectada también utiliza herramienta de redes NETSH de Microsoft para el transporte de datos a los servidores controlados atacante. Para obtener los privilegios administrativos necesarios para hacer estas cosas, los atacantes también se basó en Mimikatz. Para reducir las evidencias dejadas en los registros o discos duros, los atacantes escondidos los comandos de PowerShell en el registro de Windows.
Afortunadamente, las pruebas en el controlador de dominio estaba intacto, presumiblemente debido a que no se ha reiniciado antes de que los investigadores de Kaspersky Lab iniciaron la inspección. Un análisis de los contenidos de la memoria objeto de dumping y los registros de Windows permitió a los investigadores para restaurar el código Meterpreter y Mimikatz. Los atacantes, los investigadores determinaron más tarde, se habían utilizado las herramientas para recolectar contraseñas de los administradores del sistema y para la administración remota de máquinas huésped infectadas.
"Estamos hablando de una gran cantidad de incidentes" que a menudo varían en la forma en que se llevaron a cabo, dijo Baumgartner de las infecciones por los investigadores encontraron en los meses después de su descubrimiento inicial. "Estamos pensando en el denominador común en todos estos incidentes, que pasa a ser este uso extraño en la incorporación de PowerShell en el registro con el fin de descargar Meterpretor y luego llevar a cabo acciones a partir de ahí con las utilidades nativas de Windows y herramientas de administración del sistema."
Los investigadores aún no saben cómo el malware se realiza inicialmente se sostiene. Los posibles vectores incluyen ataques de inyección SQL y exploits dirigidos plugins para la aplicación de gestión de contenidos de WordPress. Kaspersky Lab planea proporcionar más detalles en abril acerca de cómo se utilizaron las infecciones de desviar dinero de cajeros automáticos.
Fuente: https: //arstechnica.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario