6
WEBIMPRINTS empresa de pruebas de penetración, empresas de seguridad informática http://www.webimprints.com/seguridad- informatica.html BernhardPOS Malware

BernhardPOS Malware

Embed Size (px)

DESCRIPTION

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS.\n - PowerPoint PPT Presentation

Citation preview

Page 1: BernhardPOS Malware

WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática

http://www.webimprints.com/seguridad-informatica.html

BernhardPOS Malware

Page 2: BernhardPOS Malware

BernhardPOS Malware

Según Webimprints una empresa de pruebas de penetración hay un nuevo malware de punto de ventas se llama BernhardPOS. BernhardPOS lleva el nombre de (supuestamente) su autor quien dejó en el camino de construcción de "C: \ Bernhard \ Debug \ bernhard.pdb" y también usa el nombre de Bernhard en crear el mutex "OPSEC_BERNHARD". Esta utilidad hace varias cosas interesantes para evadir la detección antivirus. API son comúnmente utilizados en volquetes de tarjetas de crédito y se utilizan para rastrear el espacio de memoria de proceso. Bernhard parece tomar un cierto cuidado para no ser detectado inmediatamente.

Page 3: BernhardPOS Malware

Según expertos deempresa de pruebas de penetración en México estas API se resuelven utilizando prácticas shellcode estándar. Se analiza de forma manual a través de cabecera PE de Kernel32 para encontrar la lista de funciones exportadas, entonces hashes el nombre de cada uno hasta que coincida con el hash de la API que está buscando. Utiliza una lógica similar para resolver las otras API que necesita. Lo hace ocultar los nombres de los DLL que necesita mediante la decodificación en tiempo de ejecución mediante el uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el mismo que se utiliza para exfil abajo). También hace xor de texto en claro cuando termina.

BernhardPOS Malware

Page 4: BernhardPOS Malware

Comenta Mike Stevens profesional de empresas de seguridad informática que Para establecer la persistencia en el host, el siguiente comando es decodificada por el malware y ejecutado. Donde cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f es el nombre de archivo del binario.schtasks /create /tn ww /sc HOURLY /tr \"C:\cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9ae06412f2dd16bd9a089f\"" /RU SYSTEM”Las opciones son

Task name - ww Schedule - Hourly Run as user - System

BernhardPOS Malware

Page 5: BernhardPOS Malware

Comenta Mike Stevens de empresas de seguridad informática que después de todo el código de inicialización, el malware comienza su rutina de inyección principal que se corre cada 3 minutos por tiempo indefinido. Al igual que la mayoría del malware POS, se itera sobre los procesos en ejecución. A diferencia de la mayoría, que utilizan CreateToolhelp32Snapshot utiliza ZwQuerySystemInformation. Esto devuelve una matriz de estructuras que describen cada proceso que se ejecuta en el sistema. El malware luego itera sobre estas estructuras, pasando cada pid y nombre de proceso a una función que determina si o no para inyectar.

BernhardPOS Malware

Page 6: BernhardPOS Malware

CONTACTO www.webimprints.com

538 Homero # 303Polanco, México D.F 11570 

MéxicoMéxico Tel: (55) 9183-5420

DUBAI702, Smart Heights Tower, Dubai

Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034

IndiaIndia Tel: +91 11 4556 6845 


Penanganan Malware

Penanganan Malware

Documents
Trabajo Malware

Trabajo Malware

Documents
Malware Android

Malware Android

Documents
Future of Malware Chapter 11 Software flaws and malware 1

Future of Malware Chapter 11 Software flaws and malware 1

Documents
Malware-multzokatze Teknikak (Malware Clustering ...joxeankoret.com/download/hack_beers_malware_multzokatzea.pdf · Malware Eboluzioa: 2000an 2000. urtean, astean behin ikusten zen

Malware-multzokatze Teknikak (Malware Clustering ...joxeankoret.com/download/hack_beers_malware_multzokatzea.pdf · Malware Eboluzioa: 2000an 2000. urtean, astean behin ikusten zen

Documents
ESET - Malware Kurzgeschichte

ESET - Malware Kurzgeschichte

Software
La primera será malwarebytes anti-malware. Un vez ... · Malwarebytes Anti-Malware Malware ANTI-MALWARE Registros Lista de ignorados Configuración Más herramientas Escáner Protección

La primera será malwarebytes anti-malware. Un vez ... · Malwarebytes Anti-Malware Malware ANTI-MALWARE Registros Lista de ignorados Configuración Más herramientas Escáner Protección

Documents
Malware Nilgün Kablan. Malware …………………………………….…….……………………………………………… Geschichte der Malware ……………….…………………………………………………

Malware Nilgün Kablan. Malware …………………………………….…….……………………………………………… Geschichte der Malware ……………….…………………………………………………

Documents
Malware, comercio

Malware, comercio

Business
Potao Malware

Potao Malware

Internet
Malware aitor

Malware aitor

Documents
1 Automated malware audit service Automatischer Malware Audit

1 Automated malware audit service Automatischer Malware Audit

Documents
Introducción Al Malware

Introducción Al Malware

Documents
Malware Detector

Malware Detector

Software
HackLU Firefox Malware

HackLU Firefox Malware

Documents
LusyPOS Malware

LusyPOS Malware

Documents
Discuri Malware

Discuri Malware

Documents
Malware de gpu

Malware de gpu

Documents
Cómo Eliminar Malware

Cómo Eliminar Malware

Documents
Análisis malware

Análisis malware

Documents
Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”

Documents
RSA OSX Malware

RSA OSX Malware

Technology
REDACCION - MALWARE

REDACCION - MALWARE

Documents
W97m malware

W97m malware

Documents
Virusy malware

Virusy malware

Technology
Malware Houdiny

Malware Houdiny

Internet
Mobile malware

Mobile malware

Technology
Malware jorge

Malware jorge

Documents
Malware Visualization

Malware Visualization

Documents
Apresentação malware

Apresentação malware

Documents