Home conspiración WikiLeaks lanzó guías de mensajes para usuarios para los implantes de malware asesino de la CIA y AfterMidnight

WikiLeaks lanzó guías de mensajes para usuarios para los implantes de malware asesino de la CIA y AfterMidnight

mayo 15, 2017
Read

WikiLeaks lanzó guías de usuario de la CIA implantes de malware asesino y AfterMidnight que se dirigen a los PC con Windows.


La última WikiLeaks liberación de la CIA documentación de malware ha sido opacado por el ataque ransomware WannaCry barrer todo el mundo el viernes.
WikiLeaks afirma que “asesino” y “AfterMidnight” son dos de la CIA de “control y la subversión sistemas remotos de malware” que se dirigen de Windows. Ambos fueron creados para espiar a los objetivos, envía los datos recogidos de nuevo a la CIA y realizar tareas especificadas por la CIA. Ambos son persistentes y pueden programarse para desinstalar de forma autónoma en una fecha y hora específicas.
Los documentos filtrados relacionados con los marcos de malware CIA incluyeron 2014 guías del usuario para AfterMidnight, AlphaGremlin - un complemento a AfterMidnight - y asesino. Al leer esos, a aprender acerca de Gremlins, pulpo, The Gibson y otros sistemas y cargas creadas por la CIA.
Después de medianoche


WikiLeaks describe AfterMidnight como permitir “operadores para cargar y ejecutar cargas útiles de malware en un equipo de destino de forma dinámica. Los principales disfraces controlador como un servicio de Windows DLL auto-persistente y proporciona la ejecución segura de los Gremlins '' a través de un sistema de escucha HTTPS basado Post (LP) llamado 'pulpo' “.
Al describir la huella de AfterMidnight, guía de la CIA dice que después del primer reinicio, el componente no funciona en red como un archivo DLL dentro de un proceso que se ejecuta como sistema. “El servicio sólo se carga el tiempo suficiente para cargar la medianoche Core antes de que se detenga. De esta manera no hay nada, no hay ninguna entrada en funcionamiento del servicio o DLL cargado, para mostrar que la AM se ejecuta realmente “.
Los “Gremlins” - pequeñas cargas útiles ocultos para el implante AfterMidnight - pueden ser eliminados de forma segura al sobrescribir los archivos en la memoria con ceros como en los espectros vino, conquistado y poofed sin el objetivo de llegar a saber que él o ella era un objetivo.
El 68 páginas guía del usuario para AfterMidnight explica cómo funciona y debe ser desplegado, sus capacidades e incluso alude a lo que el autor considera que es divertido. En un momento se le dio el siguiente ejemplo:


En este ejemplo se simulará una operación con dos equipos de destino. El objetivo será evitar que un objetivo de utilizar su navegador web (para que pueda hacer más trabajo) y vamos a molestar al otro objetivo cada vez que utilicen PowerPoint (porque, la cara él, se lo merecen por usar PP).
Bajo el título de avanzada, 7.1.1 am.state, los usuarios AfterMidnight fueron advertidos con una nota: “Se puede destruir todo en el universo siguiendo estas instrucciones. Se recomienda la discreción del usuario “.
A esto le sigue en la siguiente sección de descansar y relajarse como “AfterMidnight se hará cargo del resto.”
¿Qué edad es la guía del usuario AfterMidnight?
El registro de cambios tiene tres entradas: junio 2013, abril de 2014 y agosto de 2014. DLL estará en cualquier versión de Windows, pero para una comparación línea de tiempo, 2013, cuando Microsoft lanzó Windows 8.1 y 8.1 RT. Windows 10 no fue lanzado hasta julio de 2015.
AlphaGremlin
La carga útil especial AlphaGremlin, que tiene 7 páginas de documentación fechada en junio de 2014, se va a utilizar, además de la suite de herramientas AfterMidnight para ejecutar tareas adicionales personalizadas en Windows PC del objetivo. Las capturas adjuntas incluidas en el AlphaGremlin guía del usuario v0.1.0 parecen mostrar Windows 7.
Asesino
En el de 204 páginas guía asesino v1.4 del usuario, la CIA describió asesino como “un implante automatizado que proporciona una plataforma de recogida sencilla en equipos remotos que ejecutan el sistema operativo Microsoft Windows. Una vez que la herramienta se instala en el objetivo, el implante se ejecuta en un proceso de servicio de Windows. Asesino entonces baliza periódicamente a su puesto de escucha configurado (s) para solicitar tareas a la vez y entregar resultados. La comunicación se produce a través de uno o más protocolos de transporte como se ha configurado antes o durante el despliegue “.
Al igual que AfterMidnight, el marco de malware asesino permite a la CIA para espiar y recoger información de un objetivo, así ejecutar tareas. Puede capturar y devolver los datos del usuario y ser eliminado de forma segura.
El implante asesino, que puede ser configurado para hibernar en un sistema de destino antes de ir activo, tiene cuatro subsistemas: Implante, constructor, Comando y Control (C2) y puesto de escucha (LP). El subsistema puesto de escucha, que contiene un servidor de baliza, la cola y el colector de registro, permite que el implante asesino para comunicarse con el C2 a través de un servidor web. La CIA agregó, “Los subsistemas Assassin C2 y LP se denominan colectivamente como la Gibson.”
La guía del usuario “Saltamontes” para instalar las cargas útiles no se incluyó en esta fuga, pero hace referencia en la guía para el asesino como una utilidad de instalación para proporcionar la “persistencia suave en los objetivos de Microsoft Windows.”  
Lamentablemente yo no comprender plenamente esta parte, pero cuando se describe la Implante perniciosa ICE DLL, la CIA señaló que el implante “ cumple con la especificación de hielo perniciosa NSA .” La guía va a hablar de FAF (dispara y olvida).
Bajo la solución de problemas, así como cola de subida, la CIA señaló: “El implante asesino no va a almacenar más de 16.384 archivos en el directorio temporal para evitar que desborde las limitaciones del sistema de archivos”. También cubrió lo que si un operador de la CIA quería ejecutar múltiples implantes asesino a un objetivo al mismo tiempo.
¿Qué edad tiene el implante asesino del usuario  guía? 
La primera entrada de la lista de cambios fue en enero de 2012 y el último, actualizado para la liberación del asesino 1,4, fue de fecha Junio ​​de 2014.
El de 21 páginas de documentación Formación asesino, que, irónicamente, parece ser una presentación de PowerPoint, tiene una sección titulada “asesino Tareas por diversión y dinero.”
Microsoft criticó la NSA y la CIA para el almacenamiento vulnerabilidades
Mientras que el presidente de Microsoft y director de asuntos legales, Brad Smith, estaba hablando sobre el ataque ransomware WannaCry y no se refiere a la documentación más reciente de los implantes de malware de la CIA, que atacó a la CIA, así como la NSA en una virulenta crítica de por qué el gobierno no debe almacenar vulnerabilidades y armas digitales.  
El ataque WannaCry, Smith escribió, “proporciona otro ejemplo de por qué la acumulación de vulnerabilidades de los gobiernos es un problema.” Y añadió: “Hemos visto vulnerabilidades almacenados por la CIA aparece en WikiLeaks, y ahora esta vulnerabilidad robado de la NSA ha afectado a clientes de todo el mundo. En repetidas ocasiones, explota en las manos de los gobiernos han filtrado en el dominio público y ha causado daños generalizados. Un escenario equivalente con armas convencionales sería el ejército de Estados Unidos con algunos de sus misiles Tomahawk robados “.
Edward Snowden, que por cierto instó al gobierno de Estados Unidos a abandonar su investigación en Julian Assange y WikiLeaks, afirmó que Microsoft confirma una ANS-desarrollado hazaña fue utilizado en el ataque WannaCry fue “ extraordinaria ”.

Tags :

No hay comentarios:

Suscribirse a: Enviar comentarios ( Atom )
Con la tecnología de Blogger.