 |
| Imagen: staticworld.net |
Todo empieza a ser más claro que al principio con el malware que ha estado asechando últimamente en la red, Duqu quien algunos anticiparon como el retorno de Stuxnet. En estos días sus investigadores, no le han perdido el rastro desde su parecido a Stuxnet, han encontrado información muy relevante, relacionada a como se filtra sigilosamente en los sistemas objetivos.
En el Laboratorio de Seguridad y Criptografía de Sistemas Laboratory of Cryptography & System Security en Hungría los investigadores descubrieron que gracias a una parte vulnerable del código “núcleo” interno (kernel) de Windows podría explotarse con un programa (exploit) diseñado para aprovechar dicha falla y otorgar acceso.
En el Laboratorio de Seguridad y Criptografía de Sistemas Laboratory of Cryptography & System Security en Hungría los investigadores descubrieron que gracias a una parte vulnerable del código “núcleo” interno (kernel) de Windows podría explotarse con un programa (exploit) diseñado para aprovechar dicha falla y otorgar acceso.
La forma de lograr ejecutar este explotar con código malicioso en el sistema objetivo es a través de su inclusión en algún otro archivo o programa inofensivo para el mismo sistema. Este mecanismo de inmersión furtiva de carga maliciosa a través de otros archivos se le conoce como “Dropper File”. De esta manera al abrirse el documento o el programa “inofensivo” ejecutan alternamente el exploit y se consigue el control deseado.
Por otra parte en Symantec han hecho otro descubrimiento interesante con Duqu, las muestras que obtuvieron de una organización contaminada con este malware, contaban con mecanismos para difundirse a través de sistemas compartidas en red. Al llegar a un sistema que no contaba con acceso a internet, Duqu tomaba otro comportamiento, se conectaba hacia otro equipo de la red interna que si tuviera acceso al exterior, por lo cual se puede hacer una especie de puente entre sistemas comprometidos y llegar a zonas restringidas.
Anteriormente el rastreo que se le hizo a las muestras de Duque mostraban que hacían contacto con un servidor en la India, pero en estas nuevas muestras había conexiones remotas hacia un servidor en Bélgica.
Microsoft ya fue notificado, por cual publico un anuncio en twitter para aclarar que están tratando el asunto, pero aun no existe disponible algún parche de seguridad o aviso de seguridad detallado referente al asunto.
+Info en zdnet
 |
| Imagen: zdnet.com |
No hay comentarios.:
Publicar un comentario