Upload
david-thomas
View
19
Download
4
Embed Size (px)
Citation preview
Carbanak es un backdoor utilizado por los atacantes para comprometer la máquina de la víctima una vez que el exploit, que llego en el correo electrónico de phishing ha lanzado con éxito su payload. Investigadores de curso hacking ético revelaron que se copia Carbanak en "% system32% \ com" con el nombre "svchost.exe" con el archivo de atributos: sistema, oculto y de sólo lectura. Se elimina entonces el archivo original de exploit.
Carbanak Malware
Al igual que otros programas dirigidos curso de Seguridad Informática, para asegurarse de que Carbanak tiene privilegios de ejecución automática el malware crea un nuevo servicio. La sintaxis de denominación es "Sys" en el Servicio de nombres es cualquier servicio existente elegido al azar, con el primer carácter eliminado. Antes de crear el servicio malicioso, Carbanak determina si antivirus o herramientas forenses se están ejecutando.
Carbanak Malware
Si no se encuentra nada en el sistema de destino, Carbanak tratará de explotar una vulnerabilidad conocida en Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows Server 2012, CVE-2013-3660, para la elevación de privilegios locales.señalan expertos con certificaciones seguridad informática.
Carbanak Malware
Acuerdo con consejos de, maestro de curso de Seguridad Informática, Carbanak crea un archivo con un nombre aleatorio y extensión .bin en% COMMON_APPDATA% \ Mozilla donde almacena los comandos para ser ejecutados. A continuación, el malware se obtiene la configuración de proxy desde la entrada del registro: [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings] y el archivo de configuración de Mozilla Firefox en:% AppData% \ prefs.js Mozilla \ Firefox \\.
Carbanak Malware
Investigadores de curso hacking ético mencionan que, Carbanak puede obtener información de configuración de proxy desde cabeceras enviadas a través de una aplicación a través de SOCKS o HTTP. Carbanak inyecta su código en svchost.exe. Carbanak descarga el kldconfig.plug archivo de su servidor C2. Este archivo incluye los nombres de los procesos para ser monitoreados.
Carbanak Malware
Una vez que el sistema está infectado, Carbanak registra las pulsaciones de teclado y toma capturas de pantalla cada 20 segundos. Este monitoreo se realiza mediante la interceptación de la llamada de ResumeThread. Para comunicarse con su servidor C2, Carbanak utiliza el protocolo HTTP con RC2 + cifrado Base64, añadiendo caracteres adicionales no incluidos en Base64 según expertos con certificaciones seguridad informática de international institute of cyber security
Carbanak Malware
CONTACTO w w w. i i c y b e r s e c u r i t y. c o m
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
633 West Germantown Pike #272Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845