¿Cómo fue hackeada exactamente Sony Pictures en noviembre de 2014? [cerrado]

7

Hay una gran cantidad de cobertura de medios como esto una pero aún no he podido encontrar detalles sobre cómo los hackers entraron en la red, los servidores y los sistemas de los usuarios.

Entonces, ¿qué vulnerabilidades / días cero utilizaron? ¿Cómo se las arreglaron aparentemente para hacerse cargo de prácticamente todos los sistemas de Sony Pictures, desde servidores y computadoras hasta dispositivos inteligentes?

¿Cómo protegemos contra ser la próxima víctima de los mismos vectores de ataque?

    
pregunta Archimedix 18.12.2014 - 18:02
fuente

2 respuestas

3

Gracias a Bob Brown's y una artículo sobre Ars Technica a quien probablemente se refiere, lo conocemos en al menos algunos detalles sobre el hack en lugar de solo chismes.

Del artículo:

  

Y aún no está claro cómo se implantó el malware en la red de Sony Pictures en primer lugar, o cómo se podrían haber retirado de la red varios terabytes de datos de los sistemas corporativos en tan solo unos días después del ataque del limpiaparabrisas.

Según el artículo, un malware utilizado en el ataque es Destover o una variante del mismo, también conocido como (a) Wiper , que también ha sido posteriormente código firmado con un certificado de Sony y era utilizado para eliminar / destruir datos en las computadoras de la víctima, por ejemplo, para cubrir y eliminar rastros de una intrusión.

ACTUALIZACIÓN:
Según la seguridad En la semana , los atacantes usaron un gusano para las redes de Windows (conocido como SMB Worm Tool ) para propagar su malware con el código de autenticación de fuerza bruta y herramientas para la transferencia de archivos , encuesta del sistema, manipulación de procesos, coincidencia de tiempo de archivos y capacidad de proxy , un mecanismo de ejecución de código arbitrario y las funciones mencionadas anteriormente para borrar y destruir datos.

Un artículo relacionado de la Semana de la Seguridad también hace referencia al US CERT alert que detalla algunos Indicators of Compromise (IOC) , es decir, hashes del malware que puede se agregará a las soluciones de seguridad / sistemas de detección de intrusos y motores de detección de malware.

    
respondido por el Archimedix 18.12.2014 - 19:31
fuente
1

Desafortunadamente, es muy común que con estos ataques dirigidos tan solo te des cuenta del ataque una vez que el intruso ya está en lo más profundo del sistema, lo que puede ser incluso años después de la intrusión inicial. En la mayoría de los casos ya no es posible reconstruir toda la cadena de infección hasta el vector de entrega original en este momento, porque no hay más rastros. Si miras los informes, ni siquiera pueden decir exactamente cuánto tiempo estuvo el intruso en la red.

Hay algunos vectores de infección que pueden dejar rastros (como correos de spear phishing aún en el buzón de correo) pero otros, como los ataques de embalsamiento de agua, malvertising o ataques sociales, generalmente no dejan rastros en la mayoría de las redes. Solo las redes con un gran monitoreo interno podrían reconstruir la cadena de entrega en tales casos. Y la eliminación final de los sistemas comprometidos dificulta aún más el análisis forense.

    
respondido por el Steffen Ullrich 18.12.2014 - 22:39
fuente

Lea otras preguntas en las etiquetas