international

institute of
cyber securty
Modulo: Carbanak Malware
Capacitacin de hacking tico

Carbanak Malware
Carbanak es un backdoor utilizado por los
atacantes para comprometer la mquina
de la vctima una vez que el exploit, que
llego en el correo electrnico de phishing
ha lanzado con xito su payload.
Investigadores de curso hacking tico
revelaron que se copia Carbanak en "%
system32% \ com" con el nombre
"svchost.exe" con el archivo de atributos:
sistema, oculto y de slo lectura. Se
elimina entonces el archivo original de

Carbanak Malware
Al igual que otros programas dirigidos
curso de Seguridad Informtica, para
asegurarse de que Carbanak tiene
privilegios de ejecucin automtica el
malware crea un nuevo servicio. La
sintaxis de denominacin es "Sys" en el
Servicio de nombres es cualquier servicio
existente elegido al azar, con el primer
carcter eliminado. Antes de crear el
servicio malicioso, Carbanak determina si
antivirus o herramientas forenses se estn

Carbanak Malware
Si no se encuentra nada en el sistema de
destino, Carbanak tratar de explotar
una vulnerabilidad conocida en Windows
XP, Windows Server 2003, Windows Vista,
Windows Server 2008, Windows 7,
Windows 8 y Windows Server 2012, CVE2013-3660, para la elevacin de
privilegios locales.
sealan expertos con certificaciones
seguridad informtica.

Carbanak Malware
Acuerdo con consejos de, maestro de curso de
Seguridad Informtica, Carbanak crea un
archivo con un nombre aleatorio y
extensin .bin en% COMMON_APPDATA% \
Mozilla donde almacena los comandos para
ser ejecutados. A continuacin, el malware se
obtiene la configuracin de proxy desde la
entrada del registro: [HKCU \ Software \
Microsoft \ Windows \ CurrentVersion \ Internet
Settings] y el archivo de configuracin de
Mozilla Firefox en:% AppData% \ prefs.js
Mozilla \ Firefox \\.

Carbanak Malware
Investigadores de curso hacking tico
mencionan que, Carbanak puede obtener
informacin de configuracin de proxy
desde cabeceras enviadas a travs de
una aplicacin a travs de SOCKS o HTTP.
Carbanak inyecta su cdigo en
svchost.exe. Carbanak descarga el
kldconfig.plug archivo de su servidor C2.
Este archivo incluye los nombres de los
procesos para ser monitoreados.

Carbanak Malware
Una vez que el sistema est infectado,
Carbanak registra las pulsaciones de
teclado y toma capturas de pantalla cada
20 segundos. Este monitoreo se realiza
mediante la interceptacin de la llamada de
ResumeThread. Para comunicarse con su
servidor C2, Carbanak utiliza el protocolo
HTTP con RC2 + cifrado Base64, aadiendo
caracteres adicionales no incluidos en
Base64 segn expertos con
certificaciones seguridad informtica
de international institute of cyber security

CONTACTO

w w w .i i c yb e r s e c u r i t y.c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845