Professional Documents
Culture Documents
PUEBLA
COORDINACION DE POSGRADO
AFTERMIDNIGHT
INVESTIGACIÓN
COMO REQUISITO PARA PASAR EL CURSO DE
REDES Y SEGURIDAD
PRESENTA:
ASESORES:
INDICE
INTRODUCCIÓN ................................................................................................................. 3
AfterMidnight ...................................................................................................................... 4
Como funciona ................................................................................................................... 6
AlphaGremlin ...................................................................................................................... 7
INFORME .............................................................................................................................. 8
CONLUSIÓN ...................................................................................................................... 11
BIBLIOGRAFIAS Y CITAS .............................................................................................. 12
INTRODUCCIÓN
AfterMidnight
Las nuevas amenazas que fueron publicadas en el portal de Wikileaks son
AfterMidnight y Assasin tienen como rasgo común el hecho de permitir a los
atacantes (en este caso la CIA) poder revisar y checar todos los movimientos de los
usuarios sin que ellos se den cuenta alguna. Son disfrazados como un servicio DLL
de Windows y ejecuta de manera segura un Gremlin por medio de un sistema
Listening Post (LP) en HTTPS, llamado Octopus en el primer caso y un implante
automatizado que puede proveer una plataforma de colecciones simples en
computadoras a distancia con el OS de Microsoft.
AfterMidnight o “Después de Media Noche” en español forma parte de la filtración
a gran escala de archivos sobre armas cibernéticas de la CIA denominada 'Vault 7'.
AfterMidnight forma parte de un par de frameworks de malware de la CIA para la
plataforma Microsoft Windows (AfterMidnight & Assasin).
Este malware permite a los operadores cargar dinámicamente y ejecutar cargas
útiles de maliciosas en un equipo destino.
El controlador principal de la carga útil maliciosa, disfrazado como un archivo de
biblioteca de vínculo dinámico de Windows (DLL) persevera y ejecuta "Gremlins"
pequeñas cargas útiles que permanecen ocultas en la máquina de destino por
subvertir la funcionalidad del software de destino a través de un sistema de Listening
Post (LP) basado en HTTPS llamado "Octopus". Una vez instalado en una máquina
de destino AM volverá a llamar a un LP configurado en una programación
configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga
y almacena todos los componentes necesarios antes de cargar todos los nuevos
Gremlins en la memoria.
Como funciona:
El malware de AfterMidnight es desarrollado en la plataforma Python versión 3.4 y
ocupa WSGI que es el servidor apache junto con OPENSSL que será para los
protocolos TLS (Transport Layer Security) y SSL donde viajara el Gremlin de
manera encriptada.
Todo el procesamiento de los resultados se realiza en el computador a ejecutar AM
en modo consola que se pueden ejecutar tanto el Linux como en Windows. Estos
resultados son planes que es un conjunto de órdenes que serán ejecutados estos
no genera cola de tareas ya que cada ejecución es de una sola vez y una vez
ejecutando espera otro plan.
Los LP son los pulpos que es la aplicación Python WSGI que se encargara en hacer
posible la conexión en los objetivos.
1. Se carga la DLL
2. EL servicio DLL encuentra media noche Core (lo lee
en la memoria y lo carga) se envían los Gremlins.
3. EL núcleo descarga el plan y los Gremlins necesarios y
la clave LP
4. El núcleo Carga el AlphaGremlin y ejecuta el plan
5. Los Gremlins se cargan según el plan
AlphaGremlin
Ejemplo:
INFORME
Una vez instalado el malware de AfterMidnight en el equipo destino AM se llaman a
los LP configurado en un horario que también es configurable para una
comprobación que tiene como propósito ver si hay un nuevo plan que ejecutar, si
hay algún plan se descarga y almacena todos los componentes que necesita antes
de cargar los nuevos Gremlins en la memoria. Todo el almacenamiento local se cifra
con una clave LP que no se almacena en el cliente. Si el equipo destino AM no es
capaz de ponerse en contacto con los LP será incapaz de ejecutar cualquier tipo de
carga útil, es decir no tendrá función alguna.
Ramsomware:
En el portal de Avast dice que Ramsomware es una técnica que los hackers utilizan para
bloquear sus dispositivos y exigir un rescate a cambio de recuperar el acceso.
Los primeros ataques reportados fueron en Gran Bretaña donde los Hospitales y
diversas clínicas se vieron obligadas a rechazar pacientes al no tener acceso a los
ordenadores. Los ordenadores fueron engañados por abrir archivos adjuntos
maliciosos de malware que fueron recibidos por correo electrónico en donde fue
Imagen representativa del ciberataque donde podemos apreciar el rescate pedido. (Fuente
recopilada del portal http://www.abc.net.au/news/2017-05-13/biggest-ransomware-
outbreak-in-history-hits-nearly-100-nations/8523102)
Se puede apreciar que el rescate es pedido en $USD o en su caso son pedidos con
la moneda virtual Bitcoin.
¿Qué es Bitcoin?
Según la página oficial de bitcoin [https://bitcoin.org/es/], Bitcoin usa tecnología peer-to-
peer o entre pares para operar sin una autoridad central o bancos; la gestión de las
transacciones y la emisión de bitcoins es llevada a cabo de forma colectiva por la red.
Bitcoin es de código abierto; su diseño es público, nadie es dueño o controla Bitcoin y
todo el mundo puede participar. Por medio de sus muchas propiedades únicas, Bitcoin
permite usos interesantes no contemplados por ningún sistema de pagos anterior.
"Por lo que muchas organizaciones en el mismo día para ser golpeados, esto no tiene
precedentes", dijo Wysopal.
La CIA había hecho un comunicado el viernes por la noche, que estaba al tanto de
los informes del mayor ataque de Ramsomware y que estaba dispuesto a prestar
apoyo técnico.
Microsoft dijo que estaba llevando acabo actualizaciones automáticas de Windows
para defender a sus clientes; dicho parche fue emitido el 14 de marzo, dos días
después del ataque.
CONLUSIÓN
En conclusión, las herramientas de malware maliciosas pueden estar en manos
equivocadas, al poco tiempo de haberse revelado información muy útil para los
hackers ya se han puesto en alerta muchas empresas en todo el mundo, desde lo
ocurrido en el caso de Ramsomware, donde se utilizó el malware de AfterMidnight.
Debido a esto los desarrolladores de antivirus también han mejorado su seguridad
introduciendo en sus productos la protección anti Ramsomware a alguna anomalía
similar que surja en ataque al computador. De igual forma Microsoft debe de
ponerse al tanto de las nuevas amenazas y mejorar su sistema de protección para
evitar ataques de estas nuevas tendencias para el público.
AfterMidnight es un claro ejemplo que la CIA de los Estados Unidos ocupa estos
malware para sus propósitos secretos y que el mundo no tenía conocimiento alguno
de estas tecnologías.
BIBLIOGRAFIAS Y CITAS