empresa de seguridad bernhardpos webimprints
Post on 22-Jul-2016
224 Views
Preview:
DESCRIPTION
TRANSCRIPT
WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informáticahttp://www.webimprints.com/seguridad-informatica.html
BernhardPOS Malware
BernhardPOS Malware
Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dejó en el camino de construcción de "C: \ Bernhard \ Debug \ bernhard.pdb" y también usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la detección antivirus. API son comúnmente utilizados en volquetes de tarjetas de crédito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente.
Según expertos deempresa de pruebas de penetración en México estas API se resuelven utilizando prácticas shellcode estándar. Se analiza de forma manual a través de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que está buscando. Utiliza una lógica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificación en tiempo de ejecución mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). También hace xor de texto en claro cuando termina.
BernhardPOS Malware
Comenta Mike Stevens profesional de empresas de seguridad informática que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f es el nombre de archivo del binario.schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM”Las opciones son
Task name - ww Schedule - Hourly Run as user - System
BernhardPOS Malware
Comenta Mike Stevens de empresas de seguridad informática que después de todo el código de inicialización, el malware comienza su rutina de inyección principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayoría del malware POS, se itera sobre los procesos en ejecución. A diferencia de la mayoría, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una función que determina si o no para inyectar.
BernhardPOS Malware
CONTACTO www.webimprints.com
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
DUBAI702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845
top related