international institute of cyber securty Modulo: Carbanak Malware Capacitaci贸n de hacking 茅tico
Carbanak Malware Carbanak es un backdoor utilizado por los atacantes para comprometer la máquina de la víctima una vez que el exploit, que llego en el correo electrónico de phishing ha lanzado con éxito su payload. Investigadores de curso hacking ético revelaron que se copia Carbanak en "% system32% \ com" con el nombre "svchost.exe" con el archivo de atributos: sistema, oculto y de sólo lectura. Se elimina entonces el archivo original de exploit.
Carbanak Malware Al igual que otros programas dirigidos curso de Seguridad Informática, para asegurarse de que Carbanak tiene privilegios de ejecución automática el malware crea un nuevo servicio. La sintaxis de denominación es "Sys" en el Servicio de nombres es cualquier servicio existente elegido al azar, con el primer carácter eliminado. Antes de crear el servicio malicioso, Carbanak determina si antivirus o herramientas forenses se están ejecutando.
Carbanak Malware Si no se encuentra nada en el sistema de destino, Carbanak tratará de explotar una vulnerabilidad conocida en Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows Server 2012, CVE-2013-3660, para la elevación de privilegios locales. señalan expertos con certificaciones seguridad informática.
Carbanak Malware Acuerdo con consejos de, maestro de curso de Seguridad Informรกtica, Carbanak crea un archivo con un nombre aleatorio y extensiรณn .bin en% COMMON_APPDATA% \ Mozilla donde almacena los comandos para ser ejecutados. A continuaciรณn, el malware se obtiene la configuraciรณn de proxy desde la entrada del registro: [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings] y el archivo de configuraciรณn de Mozilla Firefox en:% AppData% \ prefs.js Mozilla \ Firefox \\.
Carbanak Malware Investigadores de curso hacking ético mencionan que, Carbanak puede obtener información de configuración de proxy desde cabeceras enviadas a través de una aplicación a través de SOCKS o HTTP. Carbanak inyecta su código en svchost.exe. Carbanak descarga el kldconfig.plug archivo de su servidor C2. Este archivo incluye los nombres de los procesos para ser monitoreados.
Carbanak Malware Una vez que el sistema está infectado, Carbanak registra las pulsaciones de teclado y toma capturas de pantalla cada 20 segundos. Este monitoreo se realiza mediante la interceptación de la llamada de ResumeThread. Para comunicarse con su servidor C2, Carbanak utiliza el protocolo HTTP con RC2 + cifrado Base64, añadiendo caracteres adicionales no incluidos en Base64 según expertos con certificaciones seguridad informática de international institute of cyber security
CONTACTO
w w w . i i c y b e r s e c u r i t y. c o m
538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 633 West Germantown Pike #272 Plymouth Meeting, PA 19462 United States Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845