TROYANO DESTOVER UTILIZADO EN ATAQUE CONTRA SONY
La familia de troyanos Destover se ha utilizado en los ataques conocidos como DarkSeoul en marzo de 2013, y más recientemente, en el ataque contra Sony imágenes en noviembre de 2014. Se escribió al respecto el 4 de diciembre , incluyendo los posibles vínculos con el Shamoon ataque a partir de 2012.
La nueva muestra es inusual en el sentido de que sea firmado por un certificado digital válido de Sony:
signature_is_ok
La muestra firmado se ha observado previamente en una forma no firmado, como MD5:
6467c6df4ba4526c7f7a7bc950bd47eb y parece haber sido compilada en julio de 2014.
La nueva muestra tiene el MD5 e904bf93403c0fb08b9683a9e858c73e y parece que se ha firmado el 5 de diciembre de 2014, hace apenas unos días.
marca de tiempo
Funcionalmente, la puerta de atrás contiene dos C & C y tendrá alternativamente intentará conectarse a ambos, con demoras entre conexiones:
208.105.226 235 [.] : 443 – Estados Unidos Champlain Time Warner Cable Internet Llc
203.131.222 102 [.] : 443 – Tailandia Bangkok Universidad Thammasat
Entonces, ¿qué quiere decir esto? Los certificados de Sony robados (que también se filtraron por los atacantes) pueden utilizarse para firmar otras muestras maliciosos. A su vez, estos pueden ser utilizados más en otros ataques. Debido a que los certificados digitales de Sony son de confianza de soluciones de seguridad, esto hace que los ataques más efectivos. Hemos visto atacantes apalancamiento confiaba certificados en el pasado , como medio de eludir el software de listas blancas y default-niegan políticas.
Ya hemos informado el certificado digital para COMODO y Digicert y esperamos que la lista negra pronto. Productos de Kaspersky todavía detectar los ejemplares de malware, aunque firmado por los certificados digitales.
Certificado robado número de serie:
01 e2 f7 b4 59 81 1c 64 37 9f ca 0b e7 6d ce 2d
Huella digital:
8d f4 6b 5f da c2 eb 3b 47 57 F9 98 66 c1 99 ff 2b 13 42 7a
El analisis de dicho troyano DESTOVER en virustotal ofrece el siguyente informe:
MD5 6467c6df4ba4526c7f7a7bc950bd47eb
SHA1 a1805d0611f2bd2751e69ee7e634bc963b1d9585
Tamaño del fichero 84.0 KB ( 86016 bytes )
SHA256: eff542ac8e37db48821cb4e5a7d95c044fff27557763de3a891b40ebeb52cc55
Nombre: igfxtpers.exe
Detecciones: 37 / 56
Fecha de análisis: 2014-12-11 13:44:15 UTC (
1 13
Antivirus Resultado Actualización
ALYac Trojan.Agent.86016.E 20141211
AVG Agent_r.BZM 20141211
AVware Trojan.Win32.Generic!BT 20141211
Ad-Aware Trojan.NukeSped.A 20141211
Agnitum Trojan.Destover! 20141211
AhnLab-V3 Trojan/Win32.Agent 20141211
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20141211
Avast Win32:Destover-D [Trj] 20141211
Avira TR/Agent.91888 20141211
Baidu-International Trojan.Win32.Destover.AKv 20141211
BitDefender Trojan.NukeSped.A 20141211
Cyren W32/Trojan.ABMG-0138 20141211
DrWeb Trojan.DownLoader11.49010 20141211
ESET-NOD32 Win32/Agent.WSZ 20141211
Emsisoft Trojan.NukeSped.A (B) 20141211
F-Prot W32/Wiper.D 20141211
F-Secure Trojan.NukeSped.A 20141211
GData Trojan.NukeSped.A 20141211
Ikarus Trojan.Agent 20141211
K7AntiVirus Trojan ( 004b1c8d1 ) 20141211
K7GW Trojan ( 020000001 ) 20141211
Kaspersky Trojan.Win32.Destover.d 20141211
Malwarebytes Trojan.NukeSped.INT 20141211
McAfee RDN/Generic.tfr!ef 20141211
McAfee-GW-Edition RDN/Generic.tfr!ef 20141211
MicroWorld-eScan Trojan.NukeSped.A 20141211
Microsoft Backdoor:Win32/Escad.A 20141211
Norman Troj_Generic.WBAAM 20141211
Panda Trj/Agent.JJW 20141211
Qihoo-360 Win32/Trojan.e6d 20141211
Symantec Backdoor.Destover 20141211
Tencent Win32.Trojan.Generic.Wnml 20141211
TrendMicro BKDR_DESTOVER.A 20141211
TrendMicro-HouseCall BKDR_DESTOVER.A 20141211
VIPRE Trojan.Win32.Generic!BT 20141211
ViRobot Trojan.Win32.Agent.86016.CK[h] 20141211
nProtect Trojan/W32.Agent.86016.DRC 20141211
Ver informacion original en Fuente:
tory.com/3752
Noticias relacionadas:
Informacion de Kaspersky al respecto: http://www.fayerwayer.com/2014/12/malware-usa-certificado-de-seguridad-de-sony-para-infectar-computadoras/
Moralejas del hackeo a Sony : http://www.elespectador.com/noticias/economia/moralejas-del-hackeo-sony-articulo-532864
La piratería de documentos en el mundo de Hollywood:
http://blog.segu-info.com.ar/2014/12/como-sera-la-lucha-contra-la-pirateria.html
Resumen del resultado del hackeo a SONY:
totalmente-hackeada-n-/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.