¿Puedes saber si tu computadora Mac está infestada con malware de la CIA?

El 23 de marzo de 2017, WikiLeaks publicó la noticia de que la CIA posiblemente infestó las computadoras Mac con malware .

"DarkSeaSkies" es "un implante que persiste en el firmware EFI de una computadora Apple MacBook Air" y consta de "DarkMatter", "SeaPea" y "NightSkies", respectivamente implantes EFI, kernel-space y user-space.

En esta versión también se incluyen documentos sobre el malware "Triton" para MacOSX, su infector "Dark Mallet" y su versión persistente de EFI "DerStake". Si bien el manual DerStake1.4 publicado hoy data de 2013, otros documentos de Vault 7 muestran que, a partir de 2016, la CIA continúa confiando y actualizando estos sistemas y está trabajando en la producción de DerStarke2.0.

Aunque estas infecciones seguramente se dirigen a muy pocas personas, todavía hay poca o ninguna documentación sobre este malware, pero me pregunto si hay una manera de inspeccionar y diagnosticar este malware (ya sea con software de solución de problemas de malware "normal" o a través de Activity Monitor, Terminal , etc).

maldición, también estaba leyendo documentos de wikileaks sobre eso. ¿Tiene una ubicación del archivo/código fuente? . Sugeriría que para esto necesita poner en marcha un depurador y mirar lo que está mapeado activamente en la memoria. parece que gran parte de ese código se puede ocultar al usuario aprovechando bibliotecas de código abierto como openssl. Apple no ayuda al dejar tanta basura ejecutándose en la memoria que tengo un trabajo cron ejecutándose cada 15 minutos para hacer una purga.

Respuestas (1)

Kaspery Lab publicó algunas reglas de Yara para malware específico.

rule apt_equation_exploitlib_mutexes { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect Equation group's Exploitation library” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1=“prkMtx” wide $a2=“cnFormSyncExFBC” wide $a3=“cnFormVoidFBC” wide $a4=“cnFormSyncExFBC” $a5=“cnFormVoidFBC”
condition:
(($mz at 0) and any of ($a*)) }


rule apt_equation_doublefantasy_genericresource { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect DoubleFantasy encoded con g” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2=“yyyyyyyyyyyyyyyy”
$a3=“002”
condition:
(($mz at 0) and all of ($a*)) and  lesize < 500000 }


rule apt_equation_equationlaser_runtimeclasses { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect the EquationLaser malware” version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings: $a1=“?a73957838_2@@YAXXZ” $a2=“?a84884@@YAXXZ” $a3=“?b823838_9839@@YAXXZ” $a4=“?e747383_94@@YAXXZ” $a5=“?e83834@@YAXXZ” $a6=“?e929348_827@@YAXXZ”
condition: any of them
}

rule apt_equation_cryptotable { meta:
copyright = “Kaspersky Lab”
description = “Rule to detect the crypto library used in Equation group malware”
version = “1.0”
last_modi ed = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
condition: $a
}
¿Es esto para ser utilizado en la Terminal? No soy muy habilidoso con esto, ¿podría darme un sencillo procedimiento? ¡Gracias!
¿podría desarrollar su respuesta para que pueda descubrir cómo probarla y finalmente aceptarla? ¡Gracias!
¿Puedes saber si tu computadora Mac está infestada con malware de la CIA?
RespuestasAquíPolítica de privacidad1y, 0v