Cherry Picker Malware

1
WEBIMPRINTS empresa de pruebas de penetración,
empresas de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Cherry Picker Malware
2
Cherry Picker Malware
Según Webimprints un proveedor de pruebas de
penetración, el malware, conocido como "Cherry
Picker," aparentemente ha estado disponible desde
2011. Pero ha permanecido en gran parte
desapercibido por herramientas antivirus y
empresas de seguridad debido a las sofisticadas
técnicas que utiliza para ocultarse de la vista.
Cherry Picker es configurable para diversos
propósitos y usando una nueva técnica para raspar
los datos de la memoria de los sistemas POS que
infecta. Uso de cifrado, archivos de
configuración, los argumentos de línea de
comandos, y la ofuscación también han permitido
que el malware para permanecer sin ser detectado
por mucho tiempo.
3
Cherry Picker Malware
Según expertos deproveedor de pruebas de
penetración, el autor de Cherry Picker ha
mantenido actualización de la herramienta, ya
que apareció por primera vez en 2011. El malware
está ahora en su tercera generación y es notable
por varias razones. Por ejemplo, algunas otras
piezas de malware van en la medida que Cherry
Picker hace en la limpieza después de sí mismo.
Técnica de Cherry Picker de infectar un archivo
legítimo en el sistema POS y ejecutar desde
dentro del archivo comprometido sugiere un alto
grado de sofisticación por parte del autor de
malware también.
4
Cherry Picker Malware
Cherry Picker es una DLL que se carga o se
inyecta en el proceso de destino, llamando
GetCurrentProcess recupera un identificador de
proceso actual. Esto funciona también en otros
procesos, pero el proceso de llamada y la
necesidad de proceso extranjero que se abrirán
con los privilegios correctos. Con el
identificador de proceso, se realiza una llamada
a QueryWorkingSet. Esta llamada fallará realmente
porque no sabemos cuánto espacio necesitamos para
el búfer, pero a pesar eso devolverá aún el
número de páginas virtuales que actualmente
cuenta con el proceso. Esta es la información que
estamos buscando. Conocer el número de páginas
que tenemos nos permite declarar un búfer con la
cantidad correcta de espacio comenta Mike
Stevens profesional de empresa de seguridad
informática.
5
Cherry Picker Malware
Comenta Mike Stevens de empresa de seguridad
informática con una memoria suficientemente
grande, podemos llamar QueryWorkingSet de nuevo
para recuperar la información acerca de las
páginas residente en la memoria. La API
QueryWorkingSet devolverá las direcciones en el
espacio virtual para cada página física que se
asigna a la memoria virtual del proceso.
Normalmente se utiliza VirtualQuery para acceder
a la memoria pero en este caso no. Ambas técnicas
le dará acceso a la misma memoria virtual, pero
de una manera diferente.
6
Cherry Picker Malware
Comenta Mike Stevens de empresa de seguridad
informática que documentación de la API de
Microsoft describe el conjunto de trabajo
como "El conjunto de trabajo de un programa es
una colección de esas páginas en su espacio de
direcciones virtuales que han sido recientemente
referenciados. Incluye datos compartida y
privados" Esencialmente, QueryWorkingSet está
accediendo a la memoria virtual de una página a
la vez, mientras que VirtualQuery accede a la
memoria a través de un rango variable. Así Cherry
Picker usa nueva técnica para raspar la memoria
con la API QueryWorkingSet de Windows.
7
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845