BernhardPOS Malware

Jul 30, 2015 | Publisher: webimprints | Category: Internet Services |   | Views: 84 | Likes: 27

WEBIMPRINTS empresa de pruebas de penetración, empresas de seguridad informática http://www.webimprints.com/seguridad-informatica.html BernhardPOS Malware BernhardPOS Malware Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dejó en el camino de construcción de "C: \ Bernhard \ Debug \ bernhard.pdb" y también usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la detección antivirus. API son comúnmente utilizados en volquetes de tarjetas de crédito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente. Según expertos deempresa de pruebas de penetración en México estas API se resuelven utilizando prácticas shellcode estándar. Se analiza de forma manual a través de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que está buscando. Utiliza una lógica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificación en tiempo de ejecución mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). También hace xor de texto en claro cuando termina. BernhardPOS Malware Comenta Mike Stevens profesional de empresas de seguridad informática que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9 ae06412f2dd16bd9a089f es el nombre de archivo del binario. schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc3 50d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM” Las opciones son Task name - ww Schedule - Hourly Run as user - System BernhardPOS Malware Comenta Mike Stevens de empresas de seguridad informática que después de todo el código de inicialización, el malware comienza su rutina de inyección principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayoría del malware POS, se itera sobre los procesos en ejecución. A diferencia de la mayoría, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una función que determina si o no para inyectar. BernhardPOS Malware CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570  México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845 

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS.

Comments

You must log in to comment

arnaudbellegarde Says:

Nice !

×

Modal Header

Modal body