1 / 6

BernhardPOS Malware

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS.<br>

webimprints
Download Presentation

BernhardPOS Malware

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WEBIMPRINTS empresa de pruebas de penetración, empresas de seguridad informática http://www.webimprints.com/seguridad-informatica.html BernhardPOS Malware

  2. BernhardPOS Malware Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dejó en el camino de construcción de "C: \ Bernhard \ Debug \ bernhard.pdb" y también usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la detección antivirus. API son comúnmente utilizados en volquetes de tarjetas de crédito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente.

  3. BernhardPOS Malware Según expertos deempresa de pruebas de penetración en Méxicoestas API se resuelven utilizando prácticas shellcode estándar. Se analiza de forma manual a través de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que está buscando. Utiliza una lógica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificación en tiempo de ejecución mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). También hace xor de texto en claro cuando termina.

  4. BernhardPOS Malware Comenta Mike Stevens profesional de empresas de seguridad informática que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f es el nombre de archivo del binario. schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM” Las opciones son Task name - ww Schedule - Hourly Run as user - System

  5. BernhardPOS Malware Comenta Mike Stevens de empresas de seguridad informática que después de todo el código de inicialización, el malware comienza su rutina de inyección principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayoría del malware POS, se itera sobre los procesos en ejecución. A diferencia de la mayoría, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una función que determina si o no para inyectar.

  6. CONTACTO www.webimprints.com 538 Homero # 303Polanco, México D.F 11570 MéxicoMéxico Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, DubaiSixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034IndiaIndia Tel: +91 11 4556 6845 

More Related