instituto internacional de seguridad cibernética

Troyano Bookworm soluciones de seguridad informática, informática forense, Curso

de seguridad en redes

Troyano Bookworm es radicalmente diferente de PlugX RAT y tiene una arquitectura modular y única. Bookworm tiene poca funcionalidad malicioso incorporado, con su única habilidad básica que involucra el robo de las pulsaciones del teclado y el contenido del clipboard. Sin embargo, Bookworm amplía sus capacidades a través de su capacidad de cargar módulos adicionales directamente de desde su comando y control (C2) servidor. Bookworm tiene muchas capas que aumentan la complejidad de su arquitectura general mencionan expertos de soluciones de seguridad informática .

Qué es troyano Bookworm

Dicen expertos de soluciones de seguridad informática que el autor utiliza varios algoritmos no sólo para cifrar y descifrar archivos guardados en el sistema, sino también para cifrar y descifrar comunicaciones de red entre Bookworm y sus servidores de C2. El troyano tiene un RAR auto-extraíble. El RAR autoextraíble escribe un ejecutable legítimo, un DLL creado llamada Loader.dll y un archivo llamado readme.txt en el sistema y después ejecuta el ejecutable legítimo. Loader.dll descifra el archivo de readme.txt utilizando un algoritmo XOR de tres bytes con 0xd07858 como una clave, que se traduce en código shell que se encarga de descifrar el resto del archivo readme.txt.

El troyano Bookworm

El código shell entonces carga el Bookworm cargando manualmente otro DLL llamada "Leader.dll" en el readme.txt descifrado y pasa búfer para Leader.dll que contiene adicional DLLs. Líder es el módulo principal de Bookworm y controla todas las actividades del troyano, pero depende de los archivos dll adicionales para proporcionar funcionalidades específicas. Para cargar módulos adicionales, líder analiza el búfer pasado a él por el código de shell en el archivo readme.txt para los otros archivos dll explica profesor de curso de seguridad en redes.

Cómo Funciona

Expertos de curso de seguridad en redes dicen que los desarrolladores de Bookworm han incluido únicamente funciones de keylogging en Bookworm como una capacidad base. Los desarrolladores han diseñado Bookworm como un troyano modular no se limita a solo la arquitectura inicial del troyano, ya que bookworm puede cargar módulos adicionales proporcionados por el servidor de C2. La capacidad de cargar módulos adicionales desde el C2 extiende las capacidades del troyano para dar cabida a las actividades de que los hackers se necesitan para llevar a cabo en el sistema comprometido.

Cómo Funciona

Bookworm utiliza una máquina de estado para realizar un seguimiento de y llevar a cabo las comunicaciones entre el sistema comprometido y el servidor C2. Los desarrolladores de Bookworm han ido a las grandes longitudes para crear un marco modular que es muy flexible por su capacidad para ejecutar módulos adicionales directamente desde su servidor de C2. No sólo es esta herramienta altamente capaz, pero también requiere un muy alto nivel de esfuerzo a analizar debido a su arquitectura modular y el uso de funciones de la API dentro de los módulos adicionales según capitación de análisis informática forense .

Cómo Funciona

CONTACTO www.iicybersecurity.com

538 Homero # 303Polanco, México D.F 11570 

MéxicoMéxico Tel: (55) 9183-5420

633 West Germantown Pike #272Plymouth Meeting, PA 19462 

United States 

Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034

IndiaIndia Tel: +91 11 4556 6845