Soluciones de seguridad informatica bookworm troyano iicybersecurity

Page 1

instituto internacional de seguridad cibernĂŠtica Troyano Bookworm

soluciones de seguridad informĂĄtica, informĂĄtica forense, Curso de seguridad en redes


Qué es troyano Bookworm Troyano Bookworm es radicalmente diferente de PlugX RAT y tiene una arquitectura modular y única. Bookworm tiene poca funcionalidad malicioso incorporado, con su única habilidad básica que involucra el robo de las pulsaciones del teclado y el contenido del clipboard. Sin embargo, Bookworm amplía sus capacidades a través de su capacidad de cargar módulos adicionales directamente de desde su comando y control (C2) servidor. Bookworm tiene muchas capas que aumentan la complejidad de su arquitectura general mencionan expertos de soluciones de seguridad informática .


El troyano Bookworm Dicen expertos de soluciones de seguridad informática que el autor utiliza varios algoritmos no sólo para cifrar y descifrar archivos guardados en el sistema, sino también para cifrar y descifrar comunicaciones de red entre Bookworm y sus servidores de C2. El troyano tiene un RAR autoextraíble. El RAR autoextraíble escribe un ejecutable legítimo, un DLL creado llamada Loader.dll y un archivo llamado readme.txt en el sistema y después ejecuta el ejecutable legítimo. Loader.dll descifra el archivo de readme.txt utilizando un algoritmo XOR de tres bytes con 0xd07858 como una clave, que se traduce en código shell que se encarga de descifrar el resto del archivo readme.txt.


Cómo Funciona El código shell entonces carga el Bookworm cargando manualmente otro DLL llamada "Leader.dll" en el readme.txt descifrado y pasa búfer para Leader.dll que contiene adicional DLLs. Líder es el módulo principal de Bookworm y controla todas las actividades del troyano, pero depende de los archivos dll adicionales para proporcionar funcionalidades específicas. Para cargar módulos adicionales, líder analiza el búfer pasado a él por el código de shell en el archivo readme.txt para los otros archivos dll explica profesor de curso de seguridad en redes.


Cómo Funciona Expertos de curso de seguridad en redes dicen que los desarrolladores de Bookworm han incluido únicamente funciones de keylogging en Bookworm como una capacidad base. Los desarrolladores han diseñado Bookworm como un troyano modular no se limita a solo la arquitectura inicial del troyano, ya que bookworm puede cargar módulos adicionales proporcionados por el servidor de C2. La capacidad de cargar módulos adicionales desde el C2 extiende las capacidades del troyano para dar cabida a las actividades de que los hackers se necesitan para llevar a cabo en el sistema comprometido.


Cómo Funciona Bookworm utiliza una máquina de estado para realizar un seguimiento de y llevar a cabo las comunicaciones entre el sistema comprometido y el servidor C2. Los desarrolladores de Bookworm han ido a las grandes longitudes para crear un marco modular que es muy flexible por su capacidad para ejecutar módulos adicionales directamente desde su servidor de C2. No sólo es esta herramienta altamente capaz, pero también requiere un muy alto nivel de esfuerzo a analizar debido a su arquitectura modular y el uso de funciones de la API dentro de los módulos adicionales según capitación de análisis informática forense .


CONTACTO

www.iicybersecurity.com

538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 633 West Germantown Pike #272 Plymouth Meeting, PA 19462 United States Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.