¿Cómo detectar la instalación de ELSA en Windows?

1

ELSA es una herramienta de la CIA que se utiliza para rastrear la ubicación de cualquier Windows y de su usuario actual a través del seguimiento del entorno de Wi-Fi. Este seguimiento está operativo, independientemente de lo que diga la GUI de Windows sobre el estado de la conexión Wi-Fi:

enlace

enlace

En resumen, denominaría a esa herramienta un registrador de ubicaciones.

¿Cómo es posible detectar que ELSA está instalado en Windows?

    
pregunta daniel Azuelos 01.07.2017 - 13:43
fuente

1 respuesta

1

Es interesante tener en cuenta:

  

(S) Elsa actualmente no establece disposiciones para balizas automáticas o   Exfiltrar datos recogidos fuera de la máquina de destino. Por lo tanto, el   el operador debe extraer el archivo de registro de Elsa de la máquina de destino   por otros medios.

De lo contrario, de la misma forma en que verificarías cualquier otra cosa:

  1. Compare sumas de comprobación conocidas de las variantes del malware con todos los archivos en el disco duro. La CIA podría potencialmente usar algún tipo de cifrado u otra ofuscación de este malware, pero es posible que no lo hayan hecho ya que la población de objetivos probablemente era muy baja.

  2. Use Autoruns del sitio de TechNet de Microsoft en otra computadora para examinar una imagen / disco sin conexión Un sistema infectado sospechoso. ELSA no parece ser muy avanzado, por lo que su persistencia en los reinicios se basa en técnicas muy visibles como tareas de inicio / carga de módulos de inicio.

    a. Utilice buenas sumas de comprobación / firmas digitales conocidas al examinar cualquier elemento que se inicie junto con el sistema operativo.

    b. Valide que solo se carguen los programas y controladores de editores conocidos, cuyas firmas digitales están intactas. Si un archivo firmado firma un archivo sin firmar, se trata de una gran superficie de ataque que a menudo no es obvia. Compare el archivo sin firmar con la versión publicada por el fabricante.

  3. Monitoree el tráfico de red de un sistema para las conexiones a los Servicios de Localización de Google mientras que ninguna otra aplicación está generando tráfico. Dado que ELSA utiliza estas API de geolocalización de terceros para generar su registro, es probable que se conecte a estos servicios en ciertos intervalos. Probablemente pueda deshabilitar por completo el uso de estos servicios en la configuración de su navegador y usar el navegador normalmente mientras observa estas conexiones, en caso de que ELSA intente obtener esta información solo mientras el host genera algún otro tipo de tráfico.

respondido por el incorpusyehtee 01.07.2017 - 17:05
fuente

Lea otras preguntas en las etiquetas