BernhardPOS Malware

Jul 30, 2015 | Publisher: webimprints | Category: Internet Services |  

WEBIMPRINTS empresa de pruebas de penetracin, empresas de seguridad informtica http://www.webimprints.com/seguridad-informatica.html BernhardPOS Malware BernhardPOS Malware Segn Webimprints una empresa de pruebas de penetracin hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dej en el camino de construccin de "C: \ Bernhard \ Debug \ bernhard.pdb" y tambin usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la deteccin antivirus. API son comnmente utilizados en volquetes de tarjetas de crdito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente. Segn expertos deempresa de pruebas de penetracin en Mxico estas API se resuelven utilizando prcticas shellcode estndar. Se analiza de forma manual a travs de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que est buscando. Utiliza una lgica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificacin en tiempo de ejecucin mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). Tambin hace xor de texto en claro cuando termina. BernhardPOS Malware Comenta Mike Stevens profesional de empresas de seguridad informtica que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9 ae06412f2dd16bd9a089f es el nombre de archivo del binario. schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc3 50d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM Las opciones son Task name - ww Schedule - Hourly Run as user - System BernhardPOS Malware Comenta Mike Stevens de empresas de seguridad informtica que despus de todo el cdigo de inicializacin, el malware comienza su rutina de inyeccin principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayora del malware POS, se itera sobre los procesos en ejecucin. A diferencia de la mayora, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una funcin que determina si o no para inyectar. BernhardPOS Malware CONTACTO www.webimprints.com 538 Homero # 303 Polanco, Mxico D.F 11570 Mxico Mxico Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS.

Comments

You must log in to comment