Rivadavia 520 Galeria Cristal 1º Piso-Local 6 - Pico Truncado |    0297 154134189

Después de medianoche.

El viernes 12 de mayo de 2017, WikiLeaks publica “AfterMidnight” y “Assassin”, dos marcos de malware de la CIA para la plataforma Microsoft Windows.

“AfterMidnight” permite a los operadores cargar dinámicamente y ejecutar cargas de malware en una máquina de destino. El controlador principal se disfraza como DLL de servicio de Windows persistente y proporciona ejecución segura de “Gremlins” a través de un sistema de Listening Post (LP) basado en HTTPS llamado “Octopus”. Una vez instalado en una máquina de destino AM volverá a llamar a un LP configurado en una programación configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga y almacena todos los componentes necesarios antes de cargar todos los nuevos gremlins en la memoria. “Gremlins” son pequeñas cargas AM que están destinadas a ejecutarse ocultas en el objetivo y subvertir la funcionalidad de software orientado, encuesta de la meta (incluida la exfiltración de datos) o proporcionar servicios internos para otros gremlins. La carga útil especial “AlphaGremlin” incluso tiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutarse en la máquina de destino.

“Assassin” es un tipo similar de malware; Es un implante automatizado que proporciona una plataforma de recolección simple en equipos remotos que ejecutan el sistema operativo Microsoft Windows. Una vez que la herramienta se instala en el objetivo, el implante se ejecuta dentro de un proceso de servicio de Windows. “Assassin” (al igual que “AfterMidnight”), entonces periódicamente beacon a sus puestos de escucha configurado para solicitar tareas y entregar resultados. La comunicación se produce sobre uno o más protocolos de transporte configurados antes o durante la implementación. Los subsistemas “Assassin” C2 (Comando y Control) y LP (Listening Post) se denominan colectivamente “The Gibson” y permiten a los operadores realizar tareas específicas en un objetivo infectado.

Fuente original: WIKILEAKS

Y si fuera poco..

El 5 de mayo de 2017, WikiLeaks publica “Archimedes”, una herramienta utilizada por la CIA para atacar una computadora dentro de una Red de Área Local (LAN), usualmente utilizada en oficinas. Permite redirigir el tráfico de la computadora de destino dentro de la LAN a través de una computadora infectada con este malware y controlada por la CIA. Esta técnica es utilizada por la CIA para redirigir el navegador web de la computadora del objetivo a un servidor de explotación mientras aparece como una sesión de navegación normal.

El documento ilustra un tipo de ataque dentro de un “entorno protegido” a medida que la herramienta se despliega en una red local existente abusando de las máquinas existentes para poner bajo control los equipos objetivo y permitiendo una mayor explotación y abuso.

Dejanos tu comentario

Por favor ingrese su nombre. Por favor ingrese un email valido. Por favor ingrese su comentario.