ensayo
Páginas: 6 (1409 palabras)
Publicado: 7 de noviembre de 2013
Análisis de Poison Ivy remoto herramienta de acceso
Un informe destaca la FireEye resurgimiento de Poison Ivy, un el malware herramienta de acceso remoto (RAT), que ha mantenido su popularidad eficaces y ocho años después de su
lanzamiento original - decenas de ataque de las empresas Fortune 1000. En junto con la investigación, la compañía también lanzó calamina, un conjunto de herramientasgratuitas para ayudar a las organizaciones detectar posibles Infecciones de la hiedra venenosa.
Poison Ivy ha sido utilizado en varios highprofile campañas de malware, lo más famoso, el 2011 compromiso de los datos de RSA SecurID. En el mismo año, Poison Ivy alimentado un
ataque coordinado denominado "Nitro" contra fabricantes de productos químicos, oficinas gubernamentales, empresas dedefensa y grupos de derechos humanos. El informe identifica varios-nación en curso actores amenaza actualmente con Poison Ivy, incluyendo:
• admin @ 338: Activo desde 2008, este actor mayormente se dirige a la industria de servicios financieros. FireEye también ha observado la actividad de esta actor de telecomunicaciones, gobierno y defensasectores.
• th3bug: Primero detectó en 2009, tiene FireEyeobserva a este actor dirigidas a un número de industrias, principalmente la educación superior y asistencia sanitaria.
• MenuPass: También se detectó por primera vez en 2009, FireEye investigación sugiere que este actor objetivos de defensa de EE.UU. y en el extranjero contratistas.
Con el paquete de calamina, la seguridad los profesionales pueden identificar indicadores reveladores de unataque Poison Ivy - incluyendo el atacante de Poison Ivy proceso de exclusión mutua y la contraseña, comando decodificada y control del tráfico de identificar exfiltración / movimiento lateral, y un línea de tiempo de actividad del malware Poison Ivy.
Esta evidencia es especialmente útil cuando se está correlacionado con múltiples ataques que muestran las mismas señas de identidad.
DesarrolladoresZeroAccess siguen innovando
Hace un tiempo un grupo de investigadores ha analizado y puesto a prueba la resistencia de los botnets P2P, y tiene descubierto que mientras que Zeus y Botnets Sality son altamente resistentes a las ataques sinkholing, Kelihos y Botnets ZeroAccess tienen debilidades que
se puede utilizar para interrumpir ellos. Investigadores de Sophos han descubierto nuevavariantes que utilizan nuevas técnicas para asegurar su persistencia en los equipos afectados, y
Ahora los investigadores de Symantec dicen que tienen visto un cambio en el uso del software malicioso de la Protocolo de comunicación P2P. "El 29 de junio de 2013, nos dimos cuenta de un nuevo módulo, distribuido entre los compañeros ZeroAccess comunicación en el peer-to-peer basado en UDP red que opera enlos puertos 16464 y 16.465 ", señalaron." ZeroAccess
mantiene una segunda red basado en UDP que opera en los puertos 16470 y 16471. Compañeros ZeroAccess comunicarse con otros pares conectados a la misma red, los compañeros no se comunican a través de redes ".
También hicieron algunos otros cambios en el funcionalidad peer-to-peer para disminuir la
probabilidad de que los forasteros quetoman el control de la botnet, incluyendo la introducción de un secundaria lista de pares internos - almacenado como NTFS de Windows secuencia de datos alternativa – que puede contener más de 16 millones de direcciones IP entre pares en lugar de la anterior 256, y un diferente lógica según la cual el par elige
contactar con otros compañeros. Es interesante observar que mientras que este códigocambios que ya están disponibles en la UDP 16464/16465 red de igual, que no tienen
haya aplicado todavía en la UDP 16470/16471 red. "La mayoría de los cambios de código hecho por el Autores ZeroAccess en esta actualización parecen estar en respuesta a la investigación publicada en la Debilidades percibidas ZeroAccess u otro los autores encontraron en el código. Estos cambios también son una prueba...
Un informe destaca la FireEye resurgimiento de Poison Ivy, un el malware herramienta de acceso remoto (RAT), que ha mantenido su popularidad eficaces y ocho años después de su
lanzamiento original - decenas de ataque de las empresas Fortune 1000. En junto con la investigación, la compañía también lanzó calamina, un conjunto de herramientasgratuitas para ayudar a las organizaciones detectar posibles Infecciones de la hiedra venenosa.
Poison Ivy ha sido utilizado en varios highprofile campañas de malware, lo más famoso, el 2011 compromiso de los datos de RSA SecurID. En el mismo año, Poison Ivy alimentado un
ataque coordinado denominado "Nitro" contra fabricantes de productos químicos, oficinas gubernamentales, empresas dedefensa y grupos de derechos humanos. El informe identifica varios-nación en curso actores amenaza actualmente con Poison Ivy, incluyendo:
• admin @ 338: Activo desde 2008, este actor mayormente se dirige a la industria de servicios financieros. FireEye también ha observado la actividad de esta actor de telecomunicaciones, gobierno y defensasectores.
• th3bug: Primero detectó en 2009, tiene FireEyeobserva a este actor dirigidas a un número de industrias, principalmente la educación superior y asistencia sanitaria.
• MenuPass: También se detectó por primera vez en 2009, FireEye investigación sugiere que este actor objetivos de defensa de EE.UU. y en el extranjero contratistas.
Con el paquete de calamina, la seguridad los profesionales pueden identificar indicadores reveladores de unataque Poison Ivy - incluyendo el atacante de Poison Ivy proceso de exclusión mutua y la contraseña, comando decodificada y control del tráfico de identificar exfiltración / movimiento lateral, y un línea de tiempo de actividad del malware Poison Ivy.
Esta evidencia es especialmente útil cuando se está correlacionado con múltiples ataques que muestran las mismas señas de identidad.
DesarrolladoresZeroAccess siguen innovando
Hace un tiempo un grupo de investigadores ha analizado y puesto a prueba la resistencia de los botnets P2P, y tiene descubierto que mientras que Zeus y Botnets Sality son altamente resistentes a las ataques sinkholing, Kelihos y Botnets ZeroAccess tienen debilidades que
se puede utilizar para interrumpir ellos. Investigadores de Sophos han descubierto nuevavariantes que utilizan nuevas técnicas para asegurar su persistencia en los equipos afectados, y
Ahora los investigadores de Symantec dicen que tienen visto un cambio en el uso del software malicioso de la Protocolo de comunicación P2P. "El 29 de junio de 2013, nos dimos cuenta de un nuevo módulo, distribuido entre los compañeros ZeroAccess comunicación en el peer-to-peer basado en UDP red que opera enlos puertos 16464 y 16.465 ", señalaron." ZeroAccess
mantiene una segunda red basado en UDP que opera en los puertos 16470 y 16471. Compañeros ZeroAccess comunicarse con otros pares conectados a la misma red, los compañeros no se comunican a través de redes ".
También hicieron algunos otros cambios en el funcionalidad peer-to-peer para disminuir la
probabilidad de que los forasteros quetoman el control de la botnet, incluyendo la introducción de un secundaria lista de pares internos - almacenado como NTFS de Windows secuencia de datos alternativa – que puede contener más de 16 millones de direcciones IP entre pares en lugar de la anterior 256, y un diferente lógica según la cual el par elige
contactar con otros compañeros. Es interesante observar que mientras que este códigocambios que ya están disponibles en la UDP 16464/16465 red de igual, que no tienen
haya aplicado todavía en la UDP 16470/16471 red. "La mayoría de los cambios de código hecho por el Autores ZeroAccess en esta actualización parecen estar en respuesta a la investigación publicada en la Debilidades percibidas ZeroAccess u otro los autores encontraron en el código. Estos cambios también son una prueba...
Leer documento completo
Regístrate para leer el documento completo.