Dropboxcache malware iicybersecurity

Views:
 
     
 

Presentation Description

Según curso de Seguridad Informática, esta petición de " heartbeat ", responde con una imagen de un byte. Para cargar y recibir datos y comandos, se conecta al puerto TCP 433 usando un protocolo personalizado y el cifrado AES.

Comments

Presentation Transcript

Slide1:

international institute of cyber securty DropboxCache Malware Capacitación de hacking ético curso de Seguridad Informática certificaciones seguridad informática

Slide2:

El malware de Linux, llamado DropboxCache o Backdoor.Linux.Mokes.a , se empaqueta con el último Packer (UPX) y tiene la capacidad de capturar el audio y tomar capturas de pantalla . Se copia se mismo en otras áreas en el ordenador y se conecta el servidor de comando y control (C & C), donde se carga y almacena los datos robados. A continuación, se conecta a su servidor codificado C & C. A partir de este punto, se realiza una petición http cada minuto seg ú n Investigadores de curso hacking ético . DropboxCache Malware

Slide3:

Seg ú n curso de Seguridad Informática , esta petición de " heartbeat ", responde con una imagen de un byte. Para cargar y recibir datos y comandos, se conecta al puerto TCP 433 usando un protocolo personalizado y el cifrado AES. El binario viene con las claves públicas codificadas. El malware que recoge la información reunida desde el keylogger, capturas de audio y capturas de pantalla en / tmp /. Más tarde, se cargar datos a la el servidor. Al parecer, está escrito en C ++ y Qt, un marco de aplicación de plataforma cruzada . DropboxCache Malware

Slide4:

La puerta trasera para Windows es OLMyJuxM.exe o Backdoor.Win32.Mokes.imv. Esto dirige la versión de 32 bits del sistema operativo . Después de ser embebido que se instala en una de las nueve ubicaciones en% AppData% e instala las claves de registro necesarias para mantener la persistencia. keylogger del software malicioso a continuación, se pone en marcha y también el monitor de entradas de mouse que se cargan en el servidor C & C. No sólo eso, sino la versión de Windows fue equipado además con una firma de firma de código válido señalan expertos con certificaciones de seguridad informática. DropboxCache Malware

Slide5:

Maestro de curso de seguridad Informática,   entonces se crean las claves del registro correspondientes en HKCU\Software\Microsoft\Windows\CurrentVersion\Run para asegurar la persistencia en el sistema. Después de que el malware ejecuta su propia copia en la nueva ubicación, se utiliza la API SetWindowsHook para establecer funciones de keylogger y supervisar entradas de mouse y mensajes internos enviados a la cola de mensajes. La siguiente etapa en su funcionamiento es ponerse en contacto con el servidor codificado C & C. Además de las direcciones IP y las claves de cifrado diferentes a la versión de Linux. DropboxCache Malware

Slide6:

Investigadores de curso hacking ético mencionan que el código también es capaz de capturar imágenes desde una cámara conectada, tales como una cámara web integrada. Desde el punto de vista del criminal, es importante que el software parece legítimo y que Windows no pide confirmación al usuario antes de ejecutar software desconocido. En máquinas Windows esto se puede lograr mediante el uso de certificados de firma de código de confianza. En este caso particular, el criminal logró firmar el binario con un certificado de confianza de " COMODO RSA Code Signing CA ". C ó mo funciona DropboxCache Malware

Slide7:

Al igual que la variante de Linux, se conecta a su servidor de C & C de la misma manera: una vez por minuto envía una señal de transacción a través de HTTP (GET / v1). Para recuperar los comandos o para cargar o descargar los recursos adicionales, que utiliza el puerto TCP 433. Se utiliza casi las mismas plantillas de nombre de archivo para guardar las imágenes obtenidas, captura de audio, keylogs y otros datos arbitrarios según expertos con certificaciones seguridad informática de international institute of cyber security C ó mo funciona DropboxCache Malware

Slide8:

CONTACTO www.iicybersecurity.com 538 Homero # 303 Polanco, México D.F 11570  México México Tel: (55) 9183-5420 633 West Germantown Pike #272 Plymouth Meeting, PA 19462  United States  Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845 

authorStream Live Help