¿Sospechas que fuiste infectado por Hacking Team? ¿No estás seguro si estás infectado con un virus persistente? Usa estas herramientas para verificarlo.
Con el hackeo que sufrió la compañía de espionaje Hacking Team, salieron a la luz muchas cosas. Entre ellas, una de las noticias más espeluznante: El malware que usaban para espiarte persiste incluso después de formatear el equipo.
Este tipo de código malicioso se instala de manera persistente en el BIOS del equipo de manera oculta, por lo que detectarlo no es un trabajo fácil. Debido a que usaban múltiples vulnerabilidades Zero Day para infectar los equipos objetivos, no podemos estar seguros si en algún momento fuimos infectados, inclusive teniendo todo el software actualizado y al día.
Por este motivo, desde Rook Security se han dedicado a analizar los 400 GB de datos filtrados y nos ponen a disposición una herramienta para identificar los archivos maliciosos que pudiesen estar ocultos en nuestro equipo.
La herramienta está compuesta de dos partes, los IOC (Indicadores de compromiso) y Milano, la herramienta que realiza la detección. Aunque se presentan como archivos separados, no es necesario bajar las dos, ya que Milano posee las firmas. Los IOC se ponen a disposición por si eres desarrollador y quieres usar esa Base de Datos de hashes en tu propia herramienta.
Hasta el momento fueron capaces de identificar 312 archivos maliciosos, con la capacidad de ser usados para apoyar el espionaje en Windows y 126 en Linux, pero los esfuerzos continúan por lo que es recomendable volver por actualizaciones en unos días.
El equipo también se encuentra haciéndole mejoras a Milano para facilitar su uso, como son la detección automática de sistema operativo y la actualización automática de los IOC.
Los investigadores siguen trabajando para brindarnos una herramienta confiable que nos ayude a determinar si fuimos víctimas de un ataque furtivo de Hacking Team o cualquier otra tipo de atacante que quiera inyectar herramientas de espionaje en nuestro equipo.
Algunos usuarios han reportado que el ZIP, tanto del IOC como de Milano, es detectado como malware por algunos programas de Antivirus, por lo que si te ocurre, no temas. Anexamos el SHA y el MD5 para que compruebes que estás bajando los archivos correctos. Igualmente, en la fuente, se encuentra el blog de los desarrolladores de la herramienta, donde podrás verificar la validez de esta herramienta.
Descargas desde el sitio original
Milano v1.0.1SHA1: 9e8eb3a45a9a871ea3028bfbd63f30a24f8fb4c9 SHA256: 19cdc201f5d158f93e8fa3f9039814ac2f3700ab3d6dc047750c3fc8a57c0356 MD5: 9894e726a7e52338879c73a4d0b9d953OpenIOC v1.0
SHA1: 60172d36159e837b73121e4901015d0dc02b92e2 SHA256: e805836cef04da66552b4fc755fb8aac0ad08120c3cc8ad5d0f6b86db63bc4d7 MD5: 3f8352da3cf648cd47466a42b6a95513OpenIOC v1.1
SHA1: db2b294b8b04191a5cc7b1b7897c52b6cbf1782c SHA256: f077d253c6d814d9147ee9afaa3cb43195421058d6a2894f70c42f864e6acc07 MD5: c1bb38fd4e1e242466bc1a5cc4968484
Fuente: Rook Security
Curioso, Apasionado por la ciencia, investigador nato. CEO, Editor y Redactor en ZonaGeek.Net.