Crítico malware KillDisk inutiliza equipos de discos duros

lunes, 11 de junio de 2018

Se reveló una nueva variante del malware KillDisk que afecta la división de arranque de una máquina, reflejando un mensaje de error, estos avisos son frecuentes en los sistemas afectados por las amenazas de borrador de MBR.

Esta amenaza fue detectada como TROJ_KILLMBR.EE y TROJ_KILLDISK.IUE.

Durante una investigación se descubrió que utilizaron Nullsoft Scriptable Install System (NSIS), una aplicación de código abierto con la cual se crean programas de instalación, los atacantes protegieron el malware con VMProtect  que actúa como protector de virtualización aplicado para resguardarse de la ingeniería inversa, sin embargo, se encontró que puede eliminar el primer sector del disco físico del equipo; este ataque fue creado para borrar  todos los discos duros físicos de un sistema.

El portal de seguridad Trendmicro, explica como el malware KillDisk se ejecuta del siguiente modo en el proceso de borrado de MBR:


-Utiliza la interfaz de programación de aplicaciones (API) CreateFileA para \\. \ PHYSICALDRIVE0 para recuperar el control del disco duro.
-Sobrescribe el primer sector del disco (512 bytes) con "0x00". El primer sector es el MBR del disco.

-Intentará realizar las rutinas anteriores (pasos 1-2) en \\. \ PHYSICALDRIVE1, \\. \ PHYSICALDRIVE2, \\. \ PHYSICALDRIVE3, y así sucesivamente, siempre que haya un disco duro disponible.

-Por último, obligará a la máquina a apagarse a través de API ExitWindows.

-Al llamar a las API, el ejecutable principal soltará el archivo del componente% User Temp% / ns {5 random characters} .tmp / System.dll. El archivo ejecutable principal cargará el archivo de la biblioteca de enlace dinámico (DLL), que tiene la función de exportación "Llamar" utilizada para llamar a las API.

Recomendación
KillDisk, es capaz de inutilizar un equipo afectado y las organizaciones pueden defenderse del malware aplicando métodos de seguridad como arrays para la administración de  discos duros y así resguardar las capas de infraestructura de TI, puertas de enlace, puntos finales e incluso redes y servidores.

Es importante que también puedan Identificar y abordar brechas de seguridad.

Monitoree sus sistemas para que parchee y actualice redes, sistemas y programas, así como aplicaciones para eliminar posibles vulnerabilidades explotables.
Indicadores de compromiso (IoC):

Hashes relacionados (SHA-256):

a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8-TROJ_KILLMBR.EE                       

1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446- TROJ_KILLDISK.IUE                    
1.Mensaje de error
2.Fragmento de código que muestra la rutina al borrar el primer sector del disco
3.Cómo el malware lleva a cabo su rutina de borrado MBR

Fuente: blog.trendmicro.com

COMPARTIR:

Twitter Facebook Google Pinterest
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Crítico malware KillDisk inutiliza equipos de discos duros
Crítico malware KillDisk inutiliza equipos de discos duros
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIk54ns-SNo4y-fVsJIlK7sw6cNaV1WRMlMeZjY5rb9bEwZQ6Gig9lWgXtQwwozO6EDiuDZNtP1yTeZGA2iNMIqGt1RG5PiwKT09p0dVSIN-gxxIRK8yyIJrEvav_fFY0ZjQncQynwtS0/s640/Captura6.PNG
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIk54ns-SNo4y-fVsJIlK7sw6cNaV1WRMlMeZjY5rb9bEwZQ6Gig9lWgXtQwwozO6EDiuDZNtP1yTeZGA2iNMIqGt1RG5PiwKT09p0dVSIN-gxxIRK8yyIJrEvav_fFY0ZjQncQynwtS0/s72-c/Captura6.PNG
Arkavia Networks News
https://www.arkalabs.cl/2018/06/se-revelo-una-nueva-variantedel-malware.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/06/se-revelo-una-nueva-variantedel-malware.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy