Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El malware Carbanak estaba grabando videos de los escritorios de las víctimas

Después de cientos de horas analizando el código fuente y el malware Carbanak, los investigadores de seguridad encontraron características y complejidad sorprendentes, incluida la capacidad de grabar videos de escritorios infectados.

Michael Bailey y James Bennett, ingenieros inversos del personal de FireEye, pasaron un total de 469 horas analizando la puerta trasera de Carbanak y su código fuente en el transcurso de dos años. Bennett realizó ingeniería inversa del propio malware Carbanak y Bailey analizó el código fuente descubierto publicado en VirusTotal en agosto de 2017.

El análisis de Bailey del código fuente de Carbanak descubrió una pieza compleja de malware que incluía características como técnicas de evasión de antivirus específicas del proveedor, técnicas de ofuscación, una herramienta integrada para permitir diferentes configuraciones e incluso un reproductor de video y un formato de archivo personalizados. Bailey dijo en la cuarta parte de su análisis que el reproductor de video se utilizó para ver «videos de escritorio grabados para comprender el flujo de trabajo operativo de los empleados que trabajan en los bancos específicos, lo que les permite insertar con éxito transacciones fraudulentas que no fueron detectadas por la verificación de los bancos. procesos «.

Bailey dijo a SearchSecurity que «la sofisticación y la complejidad están un paso por encima de las típicas puertas traseras que he visto».

«El proyecto tiene muchas partes móviles, código mixto nativo y .NET, integración con varias bases de código de fuente abierta y un control GUI muy completo. Los autores fueron asiduos y productivos en su refactorización y reutilización de código externo. Observé al menos 15 casos de código aparentemente extraído de repositorios públicos. La gestión de todo esto debe haber tenido un enfoque serio «, escribió Bailey por correo electrónico. «Sin embargo, en lo que respecta a la madurez de los desarrolladores, este equipo parece haber sido muy trabajador y bien organizado».

Bennett estuvo de acuerdo en comentarios enviados por correo electrónico, diciendo: «En mi carrera como ingeniero inverso de malware durante los últimos siete años, esta es probablemente la segunda familia de malware más compleja que he tenido que analizar completamente».

Bailey agregó que la parte más compleja del malware Carbanak era el código de tareas, que describió como «la pieza más bizantina de lógica de malware descomprimida que he presenciado (en fuente o binario).»

En mi carrera como ingeniero inverso de malware durante los últimos siete años, esta es probablemente la segunda familia de malware más compleja que he tenido que analizar por completo.

James BennettIngeniero inverso del personal, FireEye

En la primera parte de su análisis, Bailey describió el código de tareas como haciendo que el malware Carbanak sea «una bestia completamente diferente».

«Utiliza un mecanismo de Windows llamado canalizaciones con nombre como medio de comunicación y coordinación entre todos los hilos, procesos y complementos bajo el control de la puerta trasera», escribió Bailey. «Cuando el componente de tareas de Carbanak recibe un comando, reenvía el comando a través de una canalización con nombre donde viaja a través de varias funciones diferentes que procesan el mensaje, posiblemente escribiéndolo en una o más canalizaciones con nombre adicionales, hasta que llega a su destino donde el especificado finalmente se maneja el comando «.

Bennett dijo que el mecanismo de asignación de tareas lo sorprendió más porque «eso le da mucho a su sofisticación».

«Esto es a lo que Mike se había referido en broma como ‘el circo diabólico de las tuberías con nombre’ en nuestra charla Cyber ​​Defense Summit. Este sistema de tareas es la forma en que la puerta trasera de Carbanak recibe sus comandos y datos relacionados con los comandos», escribió Bennett por correo electrónico. «La cantidad de ingeniería que se empleó en este mecanismo, en comparación con el nivel de esfuerzo que normalmente realizan otros autores de malware para esta parte esencial del proyecto, fue sorprendente».

Bailey dijo que el componente del malware Carbanak que más lo sorprendió fue el uso de shellcode construido específicamente para ejecutar Metasploit.

«La función Metasploit me sorprendió porque lanzar una herramienta disponible públicamente a través de esta puerta trasera desarrollada de forma privada con todas las funciones me pareció un poco como meter un sándwich de jamón en un banquete», dijo Bailey. «Pero esto es consistente con el cambio en tácticas y herramientas que FireEye vio con FIN7, una de las organizaciones de ciberdelincuencia con motivaciones financieras observadas usando Carbanak. También podría encajar con la compañía de seguridad falsa (Combi Security) operada por FIN7. Tal vez el A- el equipo irrumpiría y conseguiría un punto de apoyo estratégico utilizando Carbanak y luego escindiría Meterpreter para que sus empleados potencialmente inconscientes de pruebas de penetración pudieran lograr los objetivos operativos sin tener acceso a las cosas buenas «.

También te puede interesar...

¿Qué es Microsoft Scale-Out File Server?

Microsoft Scale-Out File Server es una característica de almacenamiento en clúster activo-activo basada en Server Message Block (SMB) 3.0 para proporcionar disponibilidad continua de archivos compartidos en Windows Server. El servidor de archivos de escalabilidad

guía de proyecto piloto VDI

Artículo Comparación de proveedores de VDI: VMware View y Citrix XenDesktop Dos de los productos VDI más comunes son Citrix XenDesktop y VMware View, pero son diferentes en cuanto a costos y licencias. El precio

Ya no solo para la empresa

Las organizaciones pequeñas y medianas enfrentan desafíos de administración de almacenamiento de datos al igual que las grandes empresas. Aunque la capacidad de los discos está aumentando, la cantidad de datos que se crean, procesan

Caso de éxito de Getty Images: Chrome Enterprise

Acerca de Getty Images Getty Images trabaja con más de 350,000 colaboradores y cientos de socios de imágenes para brindar una cobertura integral de más de 160,000 eventos de noticias, deportes y entretenimiento cada año,

¿Qué es la copia de seguridad de Windows Server?

Copia de seguridad de servidor de Windows (WSB) es una función que proporciona opciones de copia de seguridad y recuperación para entornos de servidor de Windows. Los administradores pueden utilizar Windows Server Backup para realizar

Desafíos y soluciones en la gestión de la cadena de suministro

publicado por Addison-Wesley Professional en septiembre de 2003, ISBN 0-201-84463-X. Copyright 2007 Pearson Education, Inc. Para obtener más información, visite: www.awprofessional.com Demanda, oferta y efectivo El objetivo esencial en la gestión de una cadena de

¿Es hora de que los clientes sigan adelante?

Este año marca el 10th aniversario de la adquisición de PeopleSoft por parte de Oracle y han pasado dos años desde el lanzamiento de PeopleSoft 9.2, probablemente la última versión lanzada. Muchos de los miles

¿Qué es DB2?

¿Qué es DB2? Db2 es una familia de productos de sistemas de gestión de bases de datos (DBMS) de IBM que sirven a varias plataformas de sistemas operativos (SO) diferentes. Utilizado por organizaciones de todos

¡Fuera los archivos zurcidos de Win10 Dollar!

Al revisar mi PC de producción este fin de semana, noté media docena de carpetas en la raíz de la unidad de mi sistema (C :). Por definición, estos archivos están relacionados con el sistema

¿Qué es la Guía BABOK? Definición de Krypton Solid.

La guía del Cuerpo de conocimientos del análisis empresarial (Guía BABOK) es un libro del Instituto Internacional de Análisis Empresarial (IIBA) que proporciona a los analistas de negocios (BA) estrategias para utilizar datos para mejorar

¿Qué es Corporate Performance Management (CPM)?

La gestión del desempeño corporativo (CPM) es un término que se utiliza para describir los diversos procesos y metodologías involucradas en la alineación de las estrategias y metas de una organización con sus planes y

Best of VMworld 2018 EE. UU.: ganador de Best of Show

Fuente: Píxel/Adobe Stock Diseñador: megan cassello El ganador de Best of Show representa lo mejor de lo mejor y fue elegido entre los ganadores de las categorías anteriores. Ganador: Radar Polaris, Rubrik Ver todas las

Configurar SQL Server 2005 TempDB para rendimiento

La configuración adecuada de TempDB en SQL Server 2005 es imperativa con algunas de las nuevas responsabilidades de la base de datos del sistema. Con SQL Server 2005, TempDB es responsable de administrar objetos temporales,

Dar vida a una batería para siempre en IoT

Cuando se lanzó Wi-Fi por primera vez, era difícil imaginar que se convertiría en una herramienta de comunicación inalámbrica tan importante que actualmente conecta miles de millones de dispositivos y sigue contando. La tecnología inalámbrica

Compare bases de datos en la nube, PaaS y SaaS

Decidir entre AWS y Oracle puede ser una decisión difícil, especialmente si se tiene en cuenta que la base de datos de los dos proveedores, las ofertas de PaaS y SaaS se dirigen a diferentes

Dimensionar un servidor requiere comparaciones de casos de uso

Fuente: stock.adobe.com Redactor visual: Yumeng-ren Dimensionar un servidor es uno de los primeros pasos en la construcción de una infraestructura de virtualización. La decisión principal a tomar es entre tener muchos servidores pequeños, conocidos como

SanDisk ve que el flash PCIe se sumerge

SanDisk se convirtió en el líder del mercado de flash PCIe con su adquisición en 2014 del pionero en flash del lado del servidor Fusion-io. Menos de un año después, hay mucho menos en ese

Los socios de Cisco obtienen soporte de marketing digital

Cisco ha renovado su programa Marketing Velocity para respaldar los esfuerzos de marketing digital de los socios de Cisco, unir recursos previamente separados y aumentar el enfoque en ofertas específicas, como SD-WAN segura. La medida,

Desarrollador de software nuevo currículum imprescindible

Sí, todavía hay escasez de desarrolladores de software. Pero hay una escasez aún mayor de desarrolladores que puedan escribir bien, comunicarse de manera efectiva y reunirse cómodamente con los clientes. Una nueva investigación de Burning

¿Qué es Cisco Catalyst Blade Switch 3020?

El Cisco Catalyst Blade Switch 3020 es un conmutador diseñado para los servidores blade Hewlett-Packard (HP) BladeSystem c-Class. El 3020 es escalable para adaptarse al crecimiento anticipado de la red. Incorpora funciones de seguridad avanzadas

Deja un comentario