2. Troyano Bookworm es radicalmente diferente de
PlugX RAT y tiene una arquitectura modular y
única. Bookworm tiene poca funcionalidad
malicioso incorporado, con su única habilidad
básica que involucra el robo de las pulsaciones del
teclado y el contenido del clipboard. Sin embargo,
Bookworm amplía sus capacidades a través de su
capacidad de cargar módulos adicionales
directamente de desde su comando y control (C2)
servidor. Bookworm tiene muchas capas que
aumentan la complejidad de su arquitectura
general mencionan expertos de soluciones de
seguridad informática .
Qué es troyano Bookworm
3. Dicen expertos de soluciones de seguridad
informática que el autor utiliza varios algoritmos no
sólo para cifrar y descifrar archivos guardados en el
sistema, sino también para cifrar y descifrar
comunicaciones de red entre Bookworm y sus
servidores de C2. El troyano tiene un RAR auto-
extraíble. El RAR autoextraíble escribe un ejecutable
legítimo, un DLL creado llamada Loader.dll y un
archivo llamado readme.txt en el sistema y después
ejecuta el ejecutable legítimo. Loader.dll descifra el
archivo de readme.txt utilizando un algoritmo XOR
de tres bytes con 0xd07858 como una clave, que se
traduce en código shell que se encarga de
descifrar el resto del archivo readme.txt.
El troyano Bookworm
4. El código shell entonces carga el Bookworm
cargando manualmente otro DLL llamada
"Leader.dll" en el readme.txt descifrado y pasa
búfer para Leader.dll que contiene adicional DLLs.
Líder es el módulo principal de Bookworm y
controla todas las actividades del troyano, pero
depende de los archivos dll adicionales para
proporcionar funcionalidades específicas. Para
cargar módulos adicionales, líder analiza el búfer
pasado a él por el código de shell en el archivo
readme.txt para los otros archivos dll explica
profesor de curso de seguridad en redes.
Cómo Funciona
5. Expertos de curso de seguridad en redes dicen que
los desarrolladores de Bookworm han incluido
únicamente funciones de keylogging en Bookworm
como una capacidad base. Los desarrolladores
han diseñado Bookworm como un troyano modular
no se limita a solo la arquitectura inicial del
troyano, ya que bookworm puede cargar módulos
adicionales proporcionados por el servidor de C2.
La capacidad de cargar módulos adicionales
desde el C2 extiende las capacidades del troyano
para dar cabida a las actividades de que los
hackers se necesitan para llevar a cabo en el
sistema comprometido.
Cómo Funciona
6. Bookworm utiliza una máquina de estado para
realizar un seguimiento de y llevar a cabo las
comunicaciones entre el sistema comprometido y
el servidor C2. Los desarrolladores de Bookworm
han ido a las grandes longitudes para crear un
marco modular que es muy flexible por su
capacidad para ejecutar módulos adicionales
directamente desde su servidor de C2. No sólo es
esta herramienta altamente capaz, pero también
requiere un muy alto nivel de esfuerzo a analizar
debido a su arquitectura modular y el uso de
funciones de la API dentro de los módulos
adicionales según capitación de análisis
informática forense .
Cómo Funciona
7. CONTACTO www.iicybersecurity.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845