Al igual que otros programas dirigidos curso de Seguridad Informática, para asegurarse de que Carbanak tiene privilegios de ejecución automática el malware crea un nuevo servicio.
2. Carbanak es un backdoor utilizado por los
atacantes para comprometer la máquina
de la víctima una vez que el exploit, que
llego en el correo electrónico de phishing
ha lanzado con éxito su payload.
Investigadores de curso hacking ético
revelaron que se copia Carbanak en "%
system32% com" con el nombre
"svchost.exe" con el archivo de atributos:
sistema, oculto y de sólo lectura. Se elimina
entonces el archivo original de exploit.
Carbanak Malware
3. Al igual que otros programas dirigidos curso
de Seguridad Informática, para asegurarse
de que Carbanak tiene privilegios de
ejecución automática el malware crea un
nuevo servicio. La sintaxis de denominación
es "Sys" en el Servicio de nombres es
cualquier servicio existente elegido al azar,
con el primer carácter eliminado. Antes de
crear el servicio malicioso, Carbanak
determina si antivirus o herramientas
forenses se están ejecutando.
Carbanak Malware
4. Si no se encuentra nada en el sistema de
destino, Carbanak tratará de explotar una
vulnerabilidad conocida en Windows XP,
Windows Server 2003, Windows Vista,
Windows Server 2008, Windows 7, Windows
8 y Windows Server 2012, CVE-2013-3660,
para la elevación de privilegios locales.
señalan expertos con certificaciones
seguridad informática.
Carbanak Malware
5. Acuerdo con consejos de, maestro de curso de
Seguridad Informática, Carbanak crea un
archivo con un nombre aleatorio y extensión
.bin en% COMMON_APPDATA% Mozilla donde
almacena los comandos para ser ejecutados. A
continuación, el malware se obtiene la
configuración de proxy desde la entrada del
registro: [HKCU Software Microsoft
Windows CurrentVersion Internet Settings] y
el archivo de configuración de Mozilla Firefox
en:% AppData% prefs.js Mozilla Firefox .
Carbanak Malware
6. Investigadores de curso hacking ético
mencionan que, Carbanak puede obtener
información de configuración de proxy
desde cabeceras enviadas a través de
una aplicación a través de SOCKS o HTTP.
Carbanak inyecta su código en
svchost.exe. Carbanak descarga el
kldconfig.plug archivo de su servidor C2.
Este archivo incluye los nombres de los
procesos para ser monitoreados.
Carbanak Malware
7. Una vez que el sistema está infectado,
Carbanak registra las pulsaciones de teclado
y toma capturas de pantalla cada 20
segundos. Este monitoreo se realiza mediante
la interceptación de la llamada de
ResumeThread. Para comunicarse con su
servidor C2, Carbanak utiliza el protocolo
HTTP con RC2 + cifrado Base64, añadiendo
caracteres adicionales no incluidos en
Base64 según expertos con certificaciones
seguridad informática de international
institute of cyber security
Carbanak Malware
8. CONTACTO w w w. i i c y b e r s e c u r i t y. c o m
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845