Hacking Team: Persistent Malware

– El · Malware · de “Hacking Team persiste en el “PC” aunque se reinstale el sistema operativo

Hacking Team, Persintent Malware - BLOG - 3

Aunque se formatee el disco duro o se compre uno nuevo, el “malware” que afecta a sistemas operativos “Windows” se conserva en el “BIOS“.

Hacking Team, Persintent Malware - BLOG - 2

Tras el inesperado ataque a “Hacking Team” y el filtrado de 400GB de información, se descubrió información en una presentación sobre un “rootkit” que puede instalarse en el “BIOS” de una pc con Windows y “UEFI“, el cual resiste a la reinstalación del sistema operativo e incluso al reemplazo del disco duro.

Hacking Team, Persintent Malware - BLOG - 4

Ni siquiera formatear sirve para deshacerse del malware que instala el – agente Sistema de Control Remoto – (RCS, por sus siglas en inglés), proveído por “Hacking Team” para ser utilizado por los gobiernos, ya que el único medio confirmado para instalarse es con acceso físico a la computadora, pero no se descarta que pueda ser instalado remotamente, según informa la compañía de seguridad “Trend Micro.

Como cada fabricante utiliza un BIOS diferente, la técnica y el producto son exclusivos. Por un lado, el rootkit funciona para los BIOS proveídos por “Insyde BIOS“, uno de los principales proveedores, ya que entre sus clientes figuran – Acer, Dell, HP, Lenovo y Toshiba. Además, el rootkit también funciona con BIOS producidos por – American Megatrends – con sede en Estados Unidos.

Hacking Team, Persintent Malware - BLOG - 5

La instalación del · rootkit · se realiza de la siguiente manera:

– Se reinicia la computadora en la capa “UEFI” del – BIOS -.

– Se extrae el “firmware” del – BIOS -.

– Se instala el · rootkit · en el “firmware”.

– Se reinstala el “firmware” del – BIOS – con el · rootkit ·.

Para la instalación se requieren tres módulos, los cuales son obtenidos mediante una fuente externa, como una memoria USB. Uno de ellos (Ntfs.mod) permite la lectura y escritura en el NTFS; uno más (Rkloader.mod) para engancharse durante el arranque del sistema; y por último otro (dropper.mod) que se encarga de revisar que el · rootkit · esté instalado.

Hacking Team, Persintent Malware - BLOG - 6

El uso de técnicas para infectar sistemas – BIOS – con “UEFI” no es nuevo, ya que “Hacking Team” estuvo investigando por años un método para lograrlo, hasta que en 2014 logró su cometido y hasta ahora el “malware” ha sido descubierto. Además, siendo los gobiernos sus principales clientes, al tener acceso a las computadoras personales podrían haber instalado el “malware” sin que se supiera.

Para evitar infecciones, los expertos de seguridad de Trend Micro recomiendan asegurarse de que – Secure Flash de UEFI – esté activado, actualizar el “BIOS” mediante una herramienta proveída por el fabricante de la computadora y establecer una contraseña para acceder al – BIOS -. Por otra parte, también es posible usar – BIOS físicos con protección contra escritura -.


TonyHAT - 102

Anuncios

Un comentario en “Hacking Team: Persistent Malware”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s