Cherry pickermalware webimprints

Page 1

WEBIMPRINTS empresa de pruebas de penetraci贸n, empresas de seguridad inform谩tica

http://www.webimprints.com/seguridad-informatica.html

Cherry Picker Malware


Cherry Picker Malware Según Webimprints un proveedor de pruebas de penetración, el malware, conocido como "Cherry Picker," aparentemente ha estado disponible desde 2011. Pero ha permanecido en gran parte desapercibido por herramientas antivirus y empresas de seguridad debido a las sofisticadas técnicas que utiliza para ocultarse de la vista. Cherry Picker es configurable para diversos propósitos y usando una nueva técnica para raspar los datos de la memoria de los sistemas POS que infecta. Uso de cifrado, archivos de configuración, los argumentos de línea de comandos, y la ofuscación también han permitido que el malware para permanecer sin ser detectado por mucho tiempo.


Cherry Picker Malware Según expertos deproveedor de pruebas de penetración, el autor de Cherry Picker ha mantenido actualización de la herramienta, ya que apareció por primera vez en 2011. El malware está ahora en su tercera generación y es notable por varias razones. Por ejemplo, algunas otras piezas de malware van en la medida que Cherry Picker hace en la limpieza después de sí mismo. Técnica de Cherry Picker de infectar un archivo legítimo en el sistema POS y ejecutar desde dentro del archivo comprometido sugiere un alto grado de sofisticación por parte del autor de malware también.


Cherry Picker Malware Cherry Picker es una DLL que se carga o se inyecta en el proceso de destino, llamando GetCurrentProcess recupera un identificador de proceso actual. Esto funciona también en otros procesos, pero el proceso de llamada y la necesidad de proceso extranjero que se abrirán con los privilegios correctos. Con el identificador de proceso, se realiza una llamada a QueryWorkingSet. Esta llamada fallará realmente porque no sabemos cuánto espacio necesitamos para el búfer, pero a pesar eso devolverá aún el número de páginas virtuales que actualmente cuenta con el proceso. Esta es la información que estamos buscando. Conocer el número de páginas que tenemos nos permite declarar un búfer con la cantidad correcta de espacio comenta Mike Stevens profesional de empresa de seguridad informática.


Cherry Picker Malware Comenta Mike Stevens de empresa de seguridad informática con una memoria suficientemente grande, podemos llamar QueryWorkingSet de nuevo para recuperar la información acerca de las páginas residente en la memoria. La API QueryWorkingSet devolverá las direcciones en el espacio virtual para cada página física que se asigna a la memoria virtual del proceso. Normalmente se utiliza VirtualQuery para acceder a la memoria pero en este caso no. Ambas técnicas le dará acceso a la misma memoria virtual, pero de una manera diferente.


Cherry Picker Malware Comenta Mike Stevens de empresa de seguridad informática que documentación de la API de Microsoft describe el conjunto de trabajo como: "El conjunto de trabajo de un programa es una colección de esas páginas en su espacio de direcciones virtuales que han sido recientemente referenciados. Incluye datos compartida y privados" Esencialmente, QueryWorkingSet está accediendo a la memoria virtual de una página a la vez, mientras que VirtualQuery accede a la memoria a través de un rango variable. Así Cherry Picker usa nueva técnica para raspar la memoria con la API QueryWorkingSet de Windows.


CONTACTO

www.webimprints.com

538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.