Come rilevare l'installazione di ELSA su Windows?

1

ELSA è uno strumento CIA utilizzato per rintracciare la posizione di qualsiasi Windows e del suo utente corrente attraverso il monitoraggio dell'ambiente Wi-Fi. Questo monitoraggio funziona, qualunque sia la GUI di Windows relativa allo stato della connessione Wi-Fi:

link

link

In breve, chiamerei uno strumento come locationlogger.

Come è possibile rilevare che ELSA è installato su un Windows?

    
posta daniel Azuelos 01.07.2017 - 13:43
fonte

1 risposta

1

Interessante da notare:

(S) Elsa currently makes no provisions for automatically beaconing or exfiltrating collected data off of the target machine. Therefore the operator must extract the Elsa log file from the target machine through other means.

Altrimenti, nello stesso modo in cui verificherai qualcos'altro:

  1. Confronta checksum noti delle varianti del malware rispetto a tutti i file sul disco rigido. La CIA potrebbe potenzialmente utilizzare una sorta di criptaggio o altra offuscazione di questo malware, ma potrebbe anche non esserlo dato che la popolazione degli obiettivi era probabilmente molto bassa.

  2. Utilizza Autoruns dal sito TechNet di Microsoft su un altro computer per esaminare un'immagine / disco offline di un sospetto sistema infetto. ELSA non sembra essere molto avanzato, quindi la sua persistenza attraverso i riavvii si basa su tecniche molto visibili come le attività di avvio / caricamento dei moduli all'avvio.

    a. Usa noti buoni di controllo / firme digitali mentre esamini gli oggetti che si aprono accanto al sistema operativo.

    b. Convalidare che solo i programmi e i driver di editori noti, le cui firme digitali sono intatte, si stanno caricando. Se un file non firmato viene caricato da un file firmato, questa è una superficie di attacco grande e spesso non ovvia. Confronta il file non firmato con la versione pubblicata dal produttore.

  3. Monitora il traffico di rete di un sistema per le connessioni ai servizi di localizzazione di Google mentre nessun'altra applicazione genera traffico. Poiché ELSA utilizza queste API di geolocalizzazione di terze parti per generare la sua registrazione, probabilmente si collegherà a questi servizi a determinati intervalli. Probabilmente è possibile disabilitare completamente l'uso di questi servizi nelle impostazioni del proprio browser e utilizzare normalmente il browser durante la visione di queste connessioni, nel caso in cui ELSA cerchi di ottenere queste informazioni solo mentre è presente una sorta di altro traffico generato dall'host. / p>

risposta data 01.07.2017 - 17:05
fonte

Leggi altre domande sui tag