Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/09/2017

Nou framework de hackeig de la CIA publicat per Wikileaks Vault7

El nou framework publicat, anomenat AngelFire, infecta el sector d’arrancada per a controlar equips Windows.

Ahir WikiLeaks va publicar una nova entradaen la seua pàgina deproyectes de Vault7 en la qual està recopilant totes les eines que es van obtindre en el furoneig a la CIA publicat fa uns mesos.

Aquest nou conjunt d'eines implanta una porta posterior en sistemes Windows modificant el sector d’arrancada del sistema operatiu, i inclou quatre components principals:

Aquest nou conjunt d'eines implanta una porta posterior en sistemes Windows modificant el sector d’arrancada del sistema operatiu, i inclou quatre components principals:

1. Solartime: Modifica el sector d’arrancada de Windows per a executar Wolfcreek cada vegada que s’inicia el sistema.

2. Wolfcreek: Driver del nucli carregat en l’inici del sistema i que serveix per a carregar la resta de components una vegada iniciat el sistema.

3. Keystone: Component que per mitjà d’injecció de DLL executa aplicacions malicioses directament en memòria, sense que arriben al disc dur.

4. BadMFS: Sistema de fitxers encobert que s’instal·la en espai no dividit del disc dur de la víctima i emmagatzema tots els drivers i implants que Wolfcreek inicia.

5. Windows Transitory File System: nou mètode per a instal·lar AngelFire que permet a l’operador de la CIA crear fitxers temporals per a tasques específiques en compte de deixar els fitxers esmentats en el disc de la víctima.

La versió de 32 bits d’AngelFire funciona contra Windows XP i 7, mentre que la versió de 64 bits funciona amb Windows 7 i Server 2008 R2.

Més informació en TheHackerNews i Wikileaks.

CSIRT-CV