Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Código fuente de Carbanak encontrado en VirusTotal hace 2 años

Los investigadores de seguridad de FireEye descubrieron el código fuente del infame malware de puerta trasera Carbanak hace dos años y ahora están compartiendo el análisis del código.

Nick Carr, gerente senior del equipo de prácticas avanzadas de FireEye, con sede en Milpitas, California, encontró el código fuente de Carbanak en dos archivos RAR en VirusTotal en agosto de 2017, aproximadamente cuatro meses después de que se cargara el código. FireEye no dijo quién subió los dos archivos, pero Carr dijo vía Twitter que la persona que subió el video era de Rusia e insinuó que podría haber sido un miembro del grupo de delitos informáticos detrás de Carbanak.

El malware Carbanak se ha relacionado con más de 100 robos en todo el mundo, por un total de más de mil millones de dólares en pérdidas. El líder de la banda de delitos informáticos fue arrestado en marzo de 2018 y tres miembros más fueron arrestados en agosto.

Desde el descubrimiento del código fuente hasta mediados de 2018, Michael Bailey, ingeniero inverso del equipo FLARE de FireEye, dedicó casi 230 horas a analizar las 100.000 líneas de código, incluido un tiempo de aprendizaje del idioma ruso para «minimizar el uso de otros analistas». ‘ hora.»

El trabajo de Bailey se basó en el de su colega James Bennett, un ingeniero de FireEye que dedicó aproximadamente 220 horas a realizar ingeniería inversa en muestras de malware bancario Carbanak en 2016 y 2017 antes de que se encontrara la fuente.

En una publicación de blog que describe el proceso de análisis, Bailey escribió que aunque tener el código fuente «suena como un modo trampa para el análisis de malware», el componente Carbanak utilizado para manejar el comando y control (C2) era un ejemplo de lo difícil que era el código. analizar gramaticalmente.

CONTENIDO RELACIONADO  WVD, administración moderna y sí, BYOD

«Dependiendo del protocolo C2 utilizado y del comando que se esté procesando, el flujo de control puede tomar caminos divergentes a través de diferentes funciones solo para converger nuevamente más tarde y lograr el mismo comando», escribió Bailey. «El análisis requirió rebotar entre casi 20 funciones en cinco archivos, a menudo retrocediendo para recuperar información sobre punteros de función y parámetros que se pasaron desde hasta 18 capas hacia atrás».

«El esfuerzo me dio una idea de la maquinaria barroca que los autores construyeron por el bien de la confusión o la flexibilidad», continuó. «Sentí que esto se hizo, al menos en parte, para oscurecer las relaciones y obstaculizar el análisis oportuno».

Bailey dijo que el código fuente de Carbanak mostraba que los actores de amenazas hicieron «inversiones significativas para sacar a los analistas de malware del rastro de esta puerta trasera». Y más allá de las técnicas de ofuscación, el análisis de código también encontró que Carbanak fue diseñado para alterar las técnicas de evasión basadas en el producto antivirus instalado en un sistema.

El equipo FLARE de FireEye notificó a AVG y Trend Micro sobre estas técnicas de evasión cuando se descubrieron a fines de 2017, y Trend Micro actualizó sus reglas de monitoreo de comportamiento para contrarrestar estas técnicas poco después.

Bennett escribió por correo electrónico que, aunque el equipo «comenzó a compartir públicamente las conclusiones de nuestro análisis de Carbanak a fines de 2018», el trabajo necesario para analizar el código fuente de Carbanak, combinado con la coordinación de divulgaciones y el trabajo con las autoridades policiales, afectó el tiempo que tomó para anunciar el trabajo completo del equipo.

CONTENIDO RELACIONADO  Dónde se encuentra el archivo neutral del proveedor en imágenes médicas

«Para proteger a nuestros clientes y a la comunidad, es común que FireEye trabaje de inmediato de forma privada con las víctimas afectadas y las entidades policiales internacionales correspondientes. En el caso de Carbanak, también tuvimos que coordinar la divulgación de evasiones para otros proveedores de seguridad que identificamos al analizar el código fuente «, escribió Bennett por correo electrónico.

«Debido a la importancia del hallazgo, esperábamos hablar públicamente sobre este análisis, pero dedicamos nuestro tiempo a brindar conocimiento y comprensión de la familia de malware Carbanak a nuestra primera línea de respuesta a incidentes, así como información exclusiva sobre estas operaciones en nuestro portal de inteligencia de suscripción.

«Cuando decidimos hacer pública cierta información, nos coordinamos significativamente con nuestros clientes y socios gubernamentales para asegurarnos de que no aumentamos el riesgo ni cambiamos el comportamiento de los atacantes, que, en el caso de Carbanak, ya había cambiado», dijo.

Jake Williams, fundador y director ejecutivo de Rendition Infosec en Augusta, Georgia, dijo que «FireEye probablemente tenía razón para sentarse en el código».

«Ya existe un montón de código fuente de malware, [so] esto no cambiará significativamente el juego para los atacantes. Lo que probablemente cambiará es la atribución. Dado que varios atacantes tienen acceso al código fuente, deberíamos esperar que aumenten los ataques de bandera falsa «, dijo Williams.» El hecho de que lo tuvieran fue útil para proteger a sus clientes. Publicar el código antes de que el grupo fuera implementado en gran medida por las fuerzas del orden [in August 2018] habría provocado que el grupo cambiara de COI [indicators of compromise]. «

CONTENIDO RELACIONADO  SAP sigue liderando el mercado de ERP de nivel 1, Infor consolida su lugar en el top 4

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Cuál es la diferencia entre memoria y almacenamiento?

Los términos memoria y almacenamiento se refieren al espacio de almacenamiento interno de una computadora. La memoria es donde una aplicación … pone los datos que utiliza durante el procesamiento. Una unidad de almacenamiento es

Borre su agenda para estos eventos clave de VMware

Fuente: Eugenio Marongiu/Thinkstock VMworld: Si pudiera elegir solo una conferencia para asistir este año, asegúrese de que sea VMworld. Esta es la madre de todas las conferencias de virtualización. VMware hace bien a la comunidad

Los pros y contras de IPsec

¿Cuáles son las ventajas y desventajas de IPSec? ¿Como funciona? IPSec es una serie de protocolos que permiten el intercambio seguro de paquetes en la capa IP. Esto está diseñado principalmente para ayudar en la

¿Qué es un servicio de registros médicos personales?

Un registro de salud personal (PHR) contiene información sobre el historial médico de una persona, como el historial de vacunación, los resultados de las pruebas de laboratorio, las alergias, los medicamentos, las cirugías y los

¿Qué es la TI empresarial (TI de clase empresarial)?

La TI empresarial, también conocida como TI de clase empresarial, es hardware y software diseñado para satisfacer las demandas de una gran organización. En comparación con los consumidores y las pequeñas empresas, una empresa tiene

Aprenda qué probar en una aplicación móvil

Los usuarios esperan más de sus aplicaciones móviles que en el pasado. Las aplicaciones móviles son la interfaz preferida para una amplia base de usuarios y las empresas están invirtiendo en ellas en consecuencia. El

¿Qué es un virus engañoso y cómo funciona?

¿Qué es un virus engañoso? Un engaño de virus es una advertencia falsa sobre un virus informático. Normalmente, la advertencia llega en una nota de correo electrónico o se distribuye a través de una nota

Cómo crear una función de AWS Lambda

AWS Lambda acelera y simplifica significativamente la forma en que los equipos desarrollan y mantienen el software. AWS Lambda elimina la necesidad de que los usuarios administren servidores. Pueden automatizar procedimientos operativos, así como componentes

¿Qué es Windows 2000? – Definición de Krypton Solid

Windows 2000 (W2K) es una versión comercial más del sistema operativo Windows en evolución de Microsoft. Anteriormente llamado Windows NT 5.0, Microsoft enfatiza que Windows 2000 es evolutivo y «construido sobre tecnología NT». Windows 2000

¿Qué es 2.5G? – Definición de Krypton Solid

2.5G describe el estado de la tecnología inalámbrica y la capacidad generalmente asociada con los Servicios generales de radio por paquetes (GPRS), es decir, entre la segunda y la tercera generación de tecnología inalámbrica. La

¿Qué son los servicios empresariales?

Servicios empresariales es un término general que describe el trabajo que respalda una empresa pero que no produce un bien tangible. La tecnología de la información (TI) es un servicio comercial importante que respalda muchos

Startup Komprise llega a un acuerdo de revendedor con IBM

Komprise alcanzó su primer acuerdo importante de revendedor, asociándose con IBM para ofrecer el software Komprise Intelligent Data Management con la cartera de almacenamiento del proveedor. Los clientes pueden usar el software Komprise para mover

¿Qué es la ley de los rendimientos decrecientes?

La ley de rendimientos decrecientes es un principio económico que establece que a medida que aumenta la inversión en un área particular, la tasa de ganancia de esa inversión, después de cierto punto, no puede

¿Qué es un denunciante? – Definición de Krypton Solid

Un denunciante es una persona que proporciona voluntariamente información al público en general, o alguien en una posición de autoridad, sobre actividades comerciales deshonestas o ilegales que ocurren en una organización. Esta organización podría incluir

Empleo práctico de la API de VMware vCloud

¿Qué es la API de vCloud? ¿Cómo se está usando? VMware incluyó vCloud API con vCloud Director, que permite a los departamentos de TI ampliar sus entornos virtuales (basados ​​en la infraestructura de vSphere) a

Consejos prácticos para empezar

«Big data» es el tema candente en casi todas las conferencias de inteligencia empresarial (BI) y almacenamiento de datos en estos días, con analistas y consultores de la industria que hablan del potencial de las

Cómo funciona la estimación ágil

La estimación ágil es una forma precisa y confiable de planificar y lanzar proyectos de software. Y, sin embargo, muchos equipos de software todavía lo entienden mal. Los conocimientos de equipos ágiles que trabajan de

VMware Integrated OpenStack 2.0 aumenta la temperatura

VMware Integrated OpenStack es una distribución de OpenStack para aquellos que desean administrar una nube privada sobre una infraestructura de vSphere. En este artículo, aprenderá qué servicios de OpenStack están disponibles en la nueva versión

Expanda el almacenamiento KVM con comandos virsh

La personalización del almacenamiento es una parte clave de la flexibilidad de KVM. La capacidad de personalizar el almacenamiento para optimizar aún más el rendimiento es un factor importante para la adopción de KVM. La

¿Está muriendo el centro de contacto subcontratado?

Descarga este podcast ORLANDO, Fla. – ¿Se están acabando los días del centro de contacto subcontratado en el extranjero? La subcontratación de operaciones comerciales a países extranjeros ha sido durante mucho tiempo una práctica atractiva.

Cómo prevenir ataques de fijación anti-DNS

¿Cómo se evita la fijación anti-DNS en una aplicación web? La fijación anti-DNS, también conocida como reenlace de DNS, es más un ataque contra el usuario final. Decir «mi aplicación web es vulnerable a la

¿Qué es Apple Managed Open In?

Apple Managed Open In es una función de seguridad lanzada en el sistema operativo móvil Apple iOS 7 que permite a TI configurar qué aplicaciones pueden usar los empleados para acceder a los datos. La

Administre grupos de recursos de empleados y más

programa de tecnología y una plataforma impulsada por inteligencia artificial para que los empleados tengan las opciones de seguro adecuadas. Listo, listo, comprometido Espresa, que crea una plataforma para automatizar los programas de los empleados,

¿Qué es la seguridad móvil (seguridad inalámbrica)?

¿Qué es la seguridad móvil (seguridad inalámbrica)? La seguridad móvil es la protección de teléfonos inteligentes, tabletas, computadoras portátiles y otros dispositivos informáticos portátiles, y las redes a las que se conectan, de las amenazas

Deja un comentario