AngelFire: Infectando Windows antes del arranque

Publicado el 11 septiembre 2017
Archivado en General | Salir del comentario

Las filtraciones que hay sobre las actividades de la CIA y la NSA han confirmado que las dos agencias han trabajado en decenas de herramientas que les ayudaran a espiar los dispositivos de los usuarios. Sin importar los sistemas operativos, las versiones o incluso si había o no conexión a Internet. Las últimas versiones de Windows también tienen medidas de seguridad para evitar las infecciones. Pero para esto también había solución: AngelFire, un programa para infectar los Windows antes de que los sistemas operativos arrancaran.

CIA

AngelFire es una herramienta que instala una puerta trasera persistente en el ordenador infectado, modificando el sector de arranque. Al ejecutarse antes del sistema operativo también puede tener acceso a todo el equipo, y sin que el antivirus pueda detectar la presencia del malware. La herramienta tenía versiones para Windows XP y Windows 7 en sus versiones de 32 bits. También había versiones de 64 bits para Windows 7 y Windows Sever 2008 R2.

El método para infectar los ordenadores era el de modificar el sector de arranque para ejecutar código de kernel cuando se arrancara el sistema operativo. También se inyectaba un componente para poder ejecutar programas maliciosos en la memoria del sistema sin que tuviera presencia en el disco duro.

También se instalaba BadMFS, un archivo de sistema que se ejecuta en el espacio no particionado. Por último, había varias partes temporales que también ayudaban a ejecutar los ficheros que fueran necesarios.

Había el pero de que AngelFire necesitaba permisos de administrador en el ordenador en el que se iba a instalar. Se requería de acceso físico al equipo para poner en marcha el programa.

De todas formas, AngelFire era una herramienta muy peligrosa que podía proporcionar acceso total a los equipos a los atacantes. Para después extraer datos o instalar más cosas. Una buena herramienta que ayudaba a la CIA en sus tareas.

Vía | Wikileaks

Comentarios

No hay mas respuestas