¿Puede saber si su computadora Mac está infestada con malware de la CIA?

1

El 23 de marzo de 2017, noticias de la CIA que posiblemente infestó las computadoras Mac con publicado por WikiLeaks .

  

"DarkSeaSkies" es "un implante que persiste en el firmware EFI de una   Apple MacBook Air "y consta de" DarkMatter "," SeaPea "y   "NightSkies", respectivamente, EFI, kernel-space e implantes en el espacio de usuario.

     

Documentos sobre el malware MacOSX "Triton", su infector "Dark Mallet"   y su versión persistente EFI "DerStake" también se incluyen en este   lanzamiento. Mientras que el manual DerStake1.4 publicado hoy se remonta a 2013,   Otros documentos de Vault 7 muestran que a partir de 2016 la CIA continúa confiando   en y actualizar estos sistemas y está trabajando en la producción de   DerStarke2.0.

Aunque estas infecciones se dirigen a muy pocas personas, todavía hay poca o ninguna documentación sobre este malware, pero me pregunto si hay una manera de inspeccionar y diagnosticar este malware (ya sea con un software de resolución de problemas "regular" o mediante Activity Monitor, Terminal, etc).

    
pregunta MicroMachine 23.03.2017 - 23:49

1 respuesta

1

Kaspery Lab publicó algunas reglas de Yara para malware específico.

rule apt_equation_exploitlib_mutexes { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect Equation group's Exploitation library” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1=“prkMtx” wide $a2=“cnFormSyncExFBC” wide $a3=“cnFormVoidFBC” wide $a4=“cnFormSyncExFBC” $a5=“cnFormVoidFBC”
condition:
(($mz at 0) and any of ($a*)) }


rule apt_equation_doublefantasy_genericresource { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect DoubleFantasy encoded con g” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2=“yyyyyyyyyyyyyyyy”
$a3=“002”
condition:
(($mz at 0) and all of ($a*)) and  lesize < 500000 }


rule apt_equation_equationlaser_runtimeclasses { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect the EquationLaser malware” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings: $a1=“?a73957838_2@@YAXXZ” $a2=“?a84884@@YAXXZ” $a3=“?b823838_9839@@YAXXZ” $a4=“?e747383_94@@YAXXZ” $a5=“?e83834@@YAXXZ” $a6=“?e929348_827@@YAXXZ”
condition: any of them
}

rule apt_equation_cryptotable { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect the crypto library used in Equation group malware”
version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
condition: $a
}
    
respondido por el μολὼν.λαβέ 24.03.2017 - 01:09

Lea otras preguntas en las etiquetas