BernhardPOS Malware (1) - PowerPoint PPT Presentation

About This Presentation
Title:

BernhardPOS Malware (1)

Description:

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. – PowerPoint PPT presentation

Number of Views:35

less

Transcript and Presenter's Notes

Title: BernhardPOS Malware (1)


1
WEBIMPRINTS empresa de pruebas de penetración,
empresas de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
BernhardPOS Malware
2
BernhardPOS Malware
Según Webimprints una empresa de pruebas de
penetración hay un nuevo malware de punto de
ventas se llama BernhardPOS. BernhardPOS lleva
el nombre de (supuestamente) su autor quien dejó
en el camino de construcción de "C \ Bernhard \
Debug \ bernhard.pdb" y también usa el nombre de
Bernhard en crear el mutex "OPSEC_BERNHARD". Esta
utilidad hace varias cosas interesantes para
evadir la detección antivirus. API son comúnmente
utilizados en volquetes de tarjetas de crédito y
se utilizan para rastrear el espacio de memoria
de proceso. Bernhard parece tomar un cierto
cuidado para no ser detectado inmediatamente.
3
BernhardPOS Malware
Según expertos deempresa de pruebas de
penetración en México estas API se resuelven
utilizando prácticas shellcode estándar. Se
analiza de forma manual a través de cabecera PE
de Kernel32 para encontrar la lista de funciones
exportadas, entonces hashes el nombre de cada uno
hasta que coincida con el hash de la API que está
buscando. Utiliza una lógica similar para
resolver las otras API que necesita. Lo hace
ocultar los nombres de los DLL que necesita
mediante la decodificación en tiempo de ejecución
mediante el uso de xor 0x0B, 0x0A, 0x17,0x0D,
0x1A, 0x1F (el mismo que se utiliza para exfil
abajo). También hace xor de texto en claro cuando
termina.
4
BernhardPOS Malware
Comenta Mike Stevens profesional de empresas de
seguridad informática que Para establecer la
persistencia en el host, el siguiente comando es
decodificada por el malware y ejecutado. Donde
cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412
f2dd16bd9a089f es el nombre de archivo del
binario. schtasks /create /tn ww /sc HOURLY /tr
\"C\cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae
06412f2dd16bd9a089f\"" /RU SYSTEM Las opciones
son Task name - ww Schedule - Hourly Run as
user - System
5
BernhardPOS Malware
Comenta Mike Stevens de empresas de seguridad
informática que después de todo el código de
inicialización, el malware comienza su rutina de
inyección principal que se corre cada 3 minutos
por tiempo indefinido. Al igual que la mayoría
del malware POS, se itera sobre los procesos en
ejecución. A diferencia de la mayoría, que
utilizan CreateToolhelp32Snapshot utiliza
ZwQuerySystemInformation. Esto devuelve una
matriz de estructuras que describen cada proceso
que se ejecuta en el sistema. El malware luego
itera sobre estas estructuras, pasando cada pid
y nombre de proceso a una función que determina
si o no para inyectar.
6
CONTACTO
www.webimprints.com
  • 538 Homero 303Polanco, México D.F
    11570 MéxicoMéxico Tel (55) 9183-5420
  • DUBAI
  • 702, Smart Heights Tower, DubaiSixth Floor,
    Aggarwal Cyber Tower 1Netaji Subhash Place,
    Delhi NCR, 110034IndiaIndia Tel 91 11 4556
    6845 
Write a Comment
User Comments (0)
About PowerShow.com