Get best of the week

Cylance vs Sality

Hola a todos. En previsión del inicio del curso "Ingeniería inversa 2.0" , se preparó otra traducción interesante.



Sality ha aterrorizado a los usuarios de computadoras desde 2003, cuando los asistentes digitales personales (PDA o PDA) llegaron a los titulares de publicaciones técnicas y las PC de oficina ejecutaban Windows XP. Con los años, los usuarios lograron intercambiar sus PDA por teléfonos inteligentes, y las computadoras de escritorio cambiaron a nuevos sistemas operativos y soluciones digitales para estaciones de trabajo. Sin embargo, Sality ha sobrevivido al ritmo frenético de la innovación tecnológica y continúa amenazando a las organizaciones hasta el día de hoy.

El virus Sality infecta ejecutables locales, medios extraíbles y unidades de uso remoto. Crea una botnet punto a punto (P2P) que facilita la descarga y ejecución de otro malware. Sality puede realizar una inyección de código malicioso y modificar su punto de entrada para forzar la ejecución del código. Este malware sigue siendo viable, adoptando estrategias exitosas de otras amenazas, incluidos métodos como rootkit / backdoor, keylogging y distribución tipo gusano.

Análisis de la cadena de ataque.




Análisis de salinidad


Nuestro análisis comienza con una captura de pantalla de un archivo de servicio de Windows Defender infectado con código malicioso. Tenga en cuenta el código malicioso incrustado en la última sección de este archivo (Figura 1) :


Figura 1: La última línea muestra el archivo ejecutable de lectura / escritura

Sality crea tres copias de sí mismo. La primera copia se guarda en la carpeta %AppData%\local\temp\ (Figura 2) y se incrusta en el proceso del explorador (Figura 3) :


Figura 2: La primera copia Sality se guarda en la carpeta %temp%con el nombre xelag.exe


Figura 3: El proceso malicioso se incrusta en el proceso del explorador ( xelag.exe)

La segunda copia de este malware se guarda en la carpeta %AppData%\local\temp\%random_folder_name%\con nombre WinDefender.exe (figura 4) :


Figura 4. La segunda copia de Sality con el nombreWinDefender.exe

La tercera copia de Sality se almacena en la memoria virtual del proceso remoto en la carpeta %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(Figura 5) :


Figura 5: La tercera copia de Sality guardada con el nombre Download_Manager.exe.

Para garantizar la sostenibilidad, Sality modifica el registro (Figura 6) :


Figura 6: Sality se escribe en el registro.

Luego, el virus intenta establecer una conexión P2P para descargar malware adicional (Figura 7) :


Figura 7: Sality recurre a IP sospechosa para obtener más malware.

Cuando la víctima reinicia la computadora, las tres copias del malware están incrustadas explorer.exe (Figura 8) :


Figura 8: Las tres copias de Sality están integradas en el proceso del explorador.

¿Por qué es importante Sality y por qué debería molestarme?


Sality hizo su debut el mismo año en que Apple abrió la tienda iTunes y los cines reunieron una taquilla en King's Return. Sigue siendo una amenaza hoy. Solo una longevidad del virus Sality es evidencia de su efectividad, adaptabilidad y adaptabilidad. Cualquier malware que todavía sea viable una década y media después de su detección inicial no debe estar fuera de la vista de los usuarios y profesionales de la seguridad.

Comparado con Nemucod, Sality es un ejemplo de malware más completo y maduro. Tiene una larga historia de cambios que apuntan a un conjunto diverso de casos de uso con la capacidad de desplegar Sality dependiendo de los objetivos y la complejidad del ataque. Al comparar las capacidades de Sality con las categorías de tácticas MITER ATT & CK, este malware puede desempeñar un papel en cada etapa interna de la cadena de ataque después de la ejecución, lo que significa que Sality necesita un método de entrega en el entorno antes de que pueda funcionar.

Si es necesario, Sality puede actuar como el principal agente operativo, proporcionando al atacante un conjunto básico de funciones para realizar diversas acciones en el objetivo, con el objetivo de mantener y ampliar el acceso. También tiene la capacidad de descargar de forma modular características adicionales según lo necesite un atacante. La flexibilidad que ofrece este conjunto de características básicas hace que Sality sea adecuado para una amplia gama de campañas ofensivas.

La flexibilidad que ofrece el malware común como Sality ofrece a los atacantes más sofisticados la capacidad de ocultar la actividad y la intención de un ataque dirigido bajo el pretexto de una campaña amplia e indiscriminada. Un atacante puede usar las capacidades de Sality en la primera ola de un ataque dirigido, estableciendo un punto de apoyo en el entorno. Gracias a este acceso, un atacante puede abrir malware más sofisticado o destructivo después de estimar el riesgo operativo en función de la posición defensiva del objetivo.

Cylance detiene la salinidad


Los usuarios de CylancePROTECT estarán felices de saber que detectamos y prevenimos Sality antes de su lanzamiento. Al evitar el lanzamiento de Sality, protegemos a nuestros clientes de este malware masticativo y de muchas otras amenazas que intenta implementar. La salinidad puede o no ser de larga duración, pero no sobrevivirá en máquinas protegidas por CylancePROTECT.


Obtén un descuento en el curso.

More articles:


All Articles