TROYANO DESTOVER UTILIZADO EN ATAQUE CONTRA SONY

Publicado el 16 diciembre 2014 ¬ 17:13 pmh.mscComentarios desactivados en TROYANO DESTOVER UTILIZADO EN ATAQUE CONTRA SONY

La familia de troyanos Destover se ha utilizado en los ataques conocidos como DarkSeoul en marzo de 2013, y más recientemente, en el ataque contra Sony imágenes en noviembre de 2014. Se escribió al respecto el 4 de diciembre , incluyendo los posibles vínculos con el Shamoon ataque a partir de 2012.

La nueva muestra es inusual en el sentido de que sea firmado por un certificado digital válido de Sony:

signature_is_ok

La muestra firmado se ha observado previamente en una forma no firmado, como MD5:

6467c6df4ba4526c7f7a7bc950bd47eb y parece haber sido compilada en julio de 2014.

La nueva muestra tiene el MD5 e904bf93403c0fb08b9683a9e858c73e y parece que se ha firmado el 5 de diciembre de 2014, hace apenas unos días.

marca de tiempo

Funcionalmente, la puerta de atrás contiene dos C & C y tendrá alternativamente intentará conectarse a ambos, con demoras entre conexiones:

208.105.226 235 [.] : 443 – Estados Unidos Champlain Time Warner Cable Internet Llc
203.131.222 102 [.] : 443 – Tailandia Bangkok Universidad Thammasat

Entonces, ¿qué quiere decir esto? Los certificados de Sony robados (que también se filtraron por los atacantes) pueden utilizarse para firmar otras muestras maliciosos. A su vez, estos pueden ser utilizados más en otros ataques. Debido a que los certificados digitales de Sony son de confianza de soluciones de seguridad, esto hace que los ataques más efectivos. Hemos visto atacantes apalancamiento confiaba certificados en el pasado , como medio de eludir el software de listas blancas y default-niegan políticas.

Ya hemos informado el certificado digital para COMODO y Digicert y esperamos que la lista negra pronto. Productos de Kaspersky todavía detectar los ejemplares de malware, aunque firmado por los certificados digitales.

Certificado robado número de serie:

01 e2 f7 b4 59 81 1c 64 37 9f ca 0b e7 6d ce 2d
Huella digital:

8d f4 6b 5f da c2 eb 3b 47 57 F9 98 66 c1 99 ff 2b 13 42 7a

El analisis de dicho troyano DESTOVER en virustotal ofrece el siguyente informe:

MD5 6467c6df4ba4526c7f7a7bc950bd47eb
SHA1 a1805d0611f2bd2751e69ee7e634bc963b1d9585
Tamaño del fichero 84.0 KB ( 86016 bytes )
SHA256: eff542ac8e37db48821cb4e5a7d95c044fff27557763de3a891b40ebeb52cc55
Nombre: igfxtpers.exe
Detecciones: 37 / 56
Fecha de análisis: 2014-12-11 13:44:15 UTC (
1 13

Antivirus Resultado Actualización
ALYac Trojan.Agent.86016.E 20141211
AVG Agent_r.BZM 20141211
AVware Trojan.Win32.Generic!BT 20141211
Ad-Aware Trojan.NukeSped.A 20141211
Agnitum Trojan.Destover! 20141211
AhnLab-V3 Trojan/Win32.Agent 20141211
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20141211
Avast Win32:Destover-D [Trj] 20141211
Avira TR/Agent.91888 20141211
Baidu-International Trojan.Win32.Destover.AKv 20141211
BitDefender Trojan.NukeSped.A 20141211
Cyren W32/Trojan.ABMG-0138 20141211
DrWeb Trojan.DownLoader11.49010 20141211
ESET-NOD32 Win32/Agent.WSZ 20141211
Emsisoft Trojan.NukeSped.A (B) 20141211
F-Prot W32/Wiper.D 20141211
F-Secure Trojan.NukeSped.A 20141211
GData Trojan.NukeSped.A 20141211
Ikarus Trojan.Agent 20141211
K7AntiVirus Trojan ( 004b1c8d1 ) 20141211
K7GW Trojan ( 020000001 ) 20141211
Kaspersky Trojan.Win32.Destover.d 20141211
Malwarebytes Trojan.NukeSped.INT 20141211
McAfee RDN/Generic.tfr!ef 20141211
McAfee-GW-Edition RDN/Generic.tfr!ef 20141211
MicroWorld-eScan Trojan.NukeSped.A 20141211
Microsoft Backdoor:Win32/Escad.A 20141211
Norman Troj_Generic.WBAAM 20141211
Panda Trj/Agent.JJW 20141211
Qihoo-360 Win32/Trojan.e6d 20141211
Symantec Backdoor.Destover 20141211
Tencent Win32.Trojan.Generic.Wnml 20141211
TrendMicro BKDR_DESTOVER.A 20141211
TrendMicro-HouseCall BKDR_DESTOVER.A 20141211
VIPRE Trojan.Win32.Generic!BT 20141211
ViRobot Trojan.Win32.Agent.86016.CK[h] 20141211
nProtect Trojan/W32.Agent.86016.DRC 20141211

Ver informacion original en Fuente:
tory.com/3752

 

Noticias relacionadas:

Informacion de Kaspersky al respecto: http://www.fayerwayer.com/2014/12/malware-usa-certificado-de-seguridad-de-sony-para-infectar-computadoras/

Moralejas del hackeo a Sony : http://www.elespectador.com/noticias/economia/moralejas-del-hackeo-sony-articulo-532864

La piratería de documentos en el mundo de Hollywood:
http://blog.segu-info.com.ar/2014/12/como-sera-la-lucha-contra-la-pirateria.html

Resumen del resultado del hackeo a SONY:
totalmente-hackeada-n-/

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies