WEBIMPRINTS empresa de pruebas de penetraci贸n, empresas de seguridad inform谩tica
http://www.webimprints.com/seguridad-informatica.html
BernhardPOS Malware
BernhardPOS Malware Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dejó en el camino de construcción de "C: \ Bernhard \ Debug \ bernhard.pdb" y también usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la detección antivirus. API son comúnmente utilizados en volquetes de tarjetas de crédito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente.
BernhardPOS Malware Según expertos deempresa de pruebas de penetración en México estas API se resuelven utilizando prácticas shellcode estándar. Se analiza de forma manual a través de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que está buscando. Utiliza una lógica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificación en tiempo de ejecución mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). También hace xor de texto en claro cuando termina.
BernhardPOS Malware Comenta Mike Stevens profesional de empresas de seguridad informåtica que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9a e06412f2dd16bd9a089f es el nombre de archivo del binario. schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc35 0d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM� Las opciones son Task name - ww Schedule - Hourly Run as user - System
BernhardPOS Malware
Comenta Mike Stevens de empresas de seguridad informática que después de todo el código de inicialización, el malware comienza su rutina de inyección principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayoría del malware POS, se itera sobre los procesos en ejecución. A diferencia de la mayoría, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una función que determina si o no para inyectar.
CONTACTO
www.webimprints.com
538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845