Soluciones de seguridad informatica bookworm troyano iicybersecurity
-
Upload
devid-thomas -
Category
Documents
-
view
225 -
download
0
description
Transcript of Soluciones de seguridad informatica bookworm troyano iicybersecurity
instituto internacional de seguridad cibernética
Troyano Bookworm soluciones de seguridad informática, informática forense, Curso
de seguridad en redes
Troyano Bookworm es radicalmente diferente de PlugX RAT y tiene una arquitectura modular y única. Bookworm tiene poca funcionalidad malicioso incorporado, con su única habilidad básica que involucra el robo de las pulsaciones del teclado y el contenido del clipboard. Sin embargo, Bookworm amplía sus capacidades a través de su capacidad de cargar módulos adicionales directamente de desde su comando y control (C2) servidor. Bookworm tiene muchas capas que aumentan la complejidad de su arquitectura general mencionan expertos de soluciones de seguridad informática .
Qué es troyano Bookworm
Dicen expertos de soluciones de seguridad informática que el autor utiliza varios algoritmos no sólo para cifrar y descifrar archivos guardados en el sistema, sino también para cifrar y descifrar comunicaciones de red entre Bookworm y sus servidores de C2. El troyano tiene un RAR auto-extraíble. El RAR autoextraíble escribe un ejecutable legítimo, un DLL creado llamada Loader.dll y un archivo llamado readme.txt en el sistema y después ejecuta el ejecutable legítimo. Loader.dll descifra el archivo de readme.txt utilizando un algoritmo XOR de tres bytes con 0xd07858 como una clave, que se traduce en código shell que se encarga de descifrar el resto del archivo readme.txt.
El troyano Bookworm
El código shell entonces carga el Bookworm cargando manualmente otro DLL llamada "Leader.dll" en el readme.txt descifrado y pasa búfer para Leader.dll que contiene adicional DLLs. Líder es el módulo principal de Bookworm y controla todas las actividades del troyano, pero depende de los archivos dll adicionales para proporcionar funcionalidades específicas. Para cargar módulos adicionales, líder analiza el búfer pasado a él por el código de shell en el archivo readme.txt para los otros archivos dll explica profesor de curso de seguridad en redes.
Cómo Funciona
Expertos de curso de seguridad en redes dicen que los desarrolladores de Bookworm han incluido únicamente funciones de keylogging en Bookworm como una capacidad base. Los desarrolladores han diseñado Bookworm como un troyano modular no se limita a solo la arquitectura inicial del troyano, ya que bookworm puede cargar módulos adicionales proporcionados por el servidor de C2. La capacidad de cargar módulos adicionales desde el C2 extiende las capacidades del troyano para dar cabida a las actividades de que los hackers se necesitan para llevar a cabo en el sistema comprometido.
Cómo Funciona
Bookworm utiliza una máquina de estado para realizar un seguimiento de y llevar a cabo las comunicaciones entre el sistema comprometido y el servidor C2. Los desarrolladores de Bookworm han ido a las grandes longitudes para crear un marco modular que es muy flexible por su capacidad para ejecutar módulos adicionales directamente desde su servidor de C2. No sólo es esta herramienta altamente capaz, pero también requiere un muy alto nivel de esfuerzo a analizar debido a su arquitectura modular y el uso de funciones de la API dentro de los módulos adicionales según capitación de análisis informática forense .
Cómo Funciona
CONTACTO www.iicybersecurity.com
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
633 West Germantown Pike #272Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845