1 votos

fabrice d avatar

¿Se puede saber si tu ordenador Mac es infectada con malware de la CIA?

Preguntado el 23 de Marzo, 2017
Cuando se hizo la pregunta
164 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

El 23 de Marzo de 2017, las noticias de la CIA de haber posiblemente infestando los ordenadores Mac con malware han sido publicados por WikiLeaks.

"DarkSeaSkies" es "un implante que persiste en el firmware EFI de una MacBook Air de Apple computer" y consiste en "DarkMatter", "SeaPea" y "NightSkies", respectivamente EFI, espacio kernel y el espacio de usuario de los implantes.

Documentos sobre el "Tritón" MacOSX malware, su infector "Oscuro Mazo" y su EFI-persistente versión "DerStake" también se incluye en este de liberación. Mientras que el DerStake1.4 manual publicado hoy las fechas para 2013, otra Bóveda 7 los documentos muestran que a partir del 2016, la CIA sigue confiando y actualización de estos sistemas y se está trabajando en la producción de DerStarke2.0.

Aunque estas infecciones seguramente destino muy pocas personas, aún hay poca o ninguna documentación acerca de este malware, pero me pregunto si hay una manera de inspeccionar y diagnosticar este tipo de malware (ya sea con "regular" malware solución de problemas de software o a través de un Monitor de Actividad, Terminal, etc).

Preguntado el 23 de Marzo, 2017 por fabrice d

Respuesta

¿Demasiados anuncios?

1voto

μολὼν.λαβέ avatar
μολὼν.λαβέ Puntos 143

Laboratorio de kaspery había publicada unas reglas de Yara para malware específico.

rule apt_equation_exploitlib_mutexes { meta:
copyright = "Kaspersky Lab"
description = "Rule to detect Equation group's Exploitation library" version = "1.0"
last_modi ed = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$mz="MZ"
$a1="prkMtx" wide $a2="cnFormSyncExFBC" wide $a3="cnFormVoidFBC" wide $a4="cnFormSyncExFBC" $a5="cnFormVoidFBC"
condition:
(($mz at 0) and any of ($a*)) }


rule apt_equation_doublefantasy_genericresource { meta:
copyright = "Kaspersky Lab"
description = "Rule to detect DoubleFantasy encoded con g" version = "1.0"
last_modi ed = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$mz="MZ"
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2="yyyyyyyyyyyyyyyy"
$a3="002"
condition:
(($mz at 0) and all of ($a*)) and  lesize < 500000 }


rule apt_equation_equationlaser_runtimeclasses { meta:
copyright = "Kaspersky Lab"
description = "Rule to detect the EquationLaser malware" version = "1.0"
last_modi ed = "2015-02-16"
reference = "https://securelist.com/blog/"
strings: $a1="?a73957838_2@@YAXXZ" $a2="?a84884@@YAXXZ" $a3="?b823838_9839@@YAXXZ" $a4="?e747383_94@@YAXXZ" $a5="?e83834@@YAXXZ" $a6="?e929348_827@@YAXXZ"
condition: any of them
}

rule apt_equation_cryptotable { meta:
copyright = "Kaspersky Lab"
description = "Rule to detect the crypto library used in Equation group malware"
version = "1.0"
last_modi ed = "2015-02-16"
reference = "https://securelist.com/blog/"
strings:
$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
condition: $a
}
Respondido el 24 de Marzo, 2017 por μολὼν.λαβέ (143 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X