¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Mentiras sobre antivirus

Антивирусная неправда

Otras ediciones de este tema (40)
  • añadir a favoritos
    Añadir a marcadores

Titular por un Euro – noticia por un céntimo

Consultas: 1031 Comentarios: 2 Ranking: 9

miércoles, 28 de junio de 2017

Vamos a hablar otra vez de noticias con titulares que dan pánico – por ejemplo, una noticia diciendo que un antivirus no detecta algo:

…No lo detectan ni bloquean los Firewalls ni el software antivirus. Esto permite extraer los datos de hosts infectados sin problema.

https://habrahabr.ru/company/it-grad/blog/330572

Estos textos dan risa, sobre todo, si se redactan para los expertos de un foro técnico, y es muy triste que nadie corrija a los autores. Vamos a verlo con detalle.

Hace poco, los lectores del proyecto «El mundo de antivirus» discutían la posibilidad de uso de Intel AMT por los malintencionados. En aquella edición mencionamos que el conjunto de tecnologías de Intel podría ofrecerles muchas posibilidades a los malintencionados, pero, por fortuna, a pesar de las vulnerabilidades existentes, los malintencionados aún no usan Intel AMT.

Menos de dos meses más tarde:

Loc hackers usan Intel AMT para transfere mensajes entre los PCs infectados.

Microsoft advirtió a los usuarios sobre un nuevo modo de abusar de la tecnología Intel Active Management Technology (Intel AMT).

http://www.securitylab.ru/news/486607.php

¿Qué es lo que usaron los malintencionados?

Intel Management Engine (ME) comprende Intel Serial-over-LAN (o AMT SOL). Intel ME está incrustado en CPU Intel y funciona bajo la administración de su propio sistema microoperativo, independiente del SO básico del equipo donde se instalan los sistemas de protección, incluido el antivirus. En otras palabras, el antivirus funciona a nivel de archivos y controladores, e Intel ME funciona a nivel de hardware. Además, la funcionalidad de Intel ME es así que el administrador (así como los malintencionados) puede usarlo hasta si el equipo (procesador) está apagado, si PC está disponible por la red.

…El procesador incrustado (Intel ME) tiene posibilidades remotas fuera de banda, tales como la de encender y apagar para el consumo de energía óptimo y KVM hasta en caso de procesador básico apagado.

SOL también puede proporcionar conexión por la red local si no hay conexión física, sin importar si el modo de red está activado en el host.

http://www.securitylab.ru/news/486607.php

Más información sobre el virus:

Los expertos de Microsoft confirman que el software nocivo que usa SOL para robar los datos tiene que ver con el grupo Platinum que ya hace muchos años realiza su actividad activamente en el territorio de Asia del Sur y Sureste. Por primera vez, el grupo fue detectado en el año 2009 y desde aquel entonces realizó muchos ataques. El año pasado se informó que Platinum se dedicaba a la instalación del software nocivo usando la tecnología de hotpatching — un mecanismo que permite a Microsoft instalar las actualizaciones sin necesidad de reiniciar el equipo.

https://habrahabr.ru/company/it-grad/blog/330572

Vamos a resumirlo. Hay un software nocivo que se instala a nivel de un sistema operativo ordinario, pero usa un protocolo específico para la comunicación a nivel de red.

Los antivirus en realidad no analizan el protocolo AMT SOL. Pero tampoco es necesario: este protocolo no se usa para la penetración, solo para comunicarse al software ya instalado. Por lo tanto, para protegerse contra esta amenaza, basta con solo impedir la instalación del troyano. Restringir los permisos de usuarios, instalar un antivirus …

Y otro detalle más:

Para realizar un ataque con éxito, los hackers primero deben obtener los datos de la cuenta de administradores de sistema.

http://www.securitylab.ru/news/486607.php

#tecnologías #vulnerabilidad #escaneo_antivirus #actualizaciones_de_seguridad #contraseña

El mundo de antivirus recomienda

  1. No confíe en los medios de comunicación.
  2. Para que un archivo nocivo empiece a funcionar, primero debe iniciarse. Para impedirlo, deben instalarse las actualizaciones, así mismo, es importante usar contraseñas seguras, usar un antivirus y restringir los permisos de usuarios.

A propósito, una noticia de los medios de comunicación decía:

Los expertos de seguridad de la corporación Microsoft detectaron un software nocivo que usa las funciones poco conocidas en chipsets Intel para esquivar antivirus y Firewalls.

En Microsoft se confirma que su solución Windows Defender ATP es capaz de distinguir el tráfico legítimo dirigido a través de AMT SOL, y los intentos de usar este canal para ataques objetivo.

http://safe.cnews.ru/news/top/2017-06-13_troyany_nauchilis_obhodit_antivirusy_i_faervolly

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios