WEBIMPRINTS

empresa de pruebas de penetracin, empresas de seguridad informtica

http://www.webimprints.com/seguridad-informatica.html

Cherry Picker Malware

Cherry Picker Malware

Segn Webimprints un proveedor de pruebas de
penetracin, el malware, conocido como "Cherry
Picker," aparentemente ha estado disponible desde
2011. Pero ha permanecido en gran parte
desapercibido por herramientas antivirus y empresas
de seguridad debido a las sofisticadas tcnicas que
utiliza para ocultarse de la vista. Cherry Picker es
configurable para diversos propsitos y usando una
nueva tcnica para raspar los datos de la memoria de
los sistemas POS que infecta. Uso de cifrado, archivos
de configuracin, los argumentos de lnea de
comandos, y la ofuscacin tambin han permitido que
el malware para permanecer sin ser detectado por
mucho tiempo.

Cherry Picker Malware

Segn expertos deproveedor de pruebas de
penetracin, el autor de Cherry Picker ha mantenido
actualizacin de la herramienta, ya que apareci por
primera vez en 2011. El malware est ahora en su
tercera generacin y es notable por varias razones. Por
ejemplo, algunas otras piezas de malware van en la
medida que Cherry Picker hace en la limpieza despus
de s mismo. Tcnica de Cherry Picker de infectar un
archivo legtimo en el sistema POS y ejecutar desde
dentro del archivo comprometido sugiere un alto
grado de sofisticacin por parte del autor de malware
tambin.

Cherry Picker Malware

Cherry Picker es una DLL que se carga o se inyecta en
el proceso de destino, llamando GetCurrentProcess
recupera un identificador de proceso actual. Esto
funciona tambin en otros procesos, pero el proceso de
llamada y la necesidad de proceso extranjero que se
abrirn con los privilegios correctos. Con el identificador
de proceso, se realiza una llamada a QueryWorkingSet.
Esta llamada fallar realmente porque no sabemos
cunto espacio necesitamos para el bfer, pero a
pesar eso devolver an el nmero de pginas virtuales
que actualmente cuenta con el proceso. Esta es la
informacin que estamos buscando. Conocer el
nmero de pginas que tenemos nos permite declarar
un bfer con la cantidad correcta de espacio
comenta Mike Stevens profesional de empresa de
seguridad informtica.

Cherry Picker Malware

Comenta Mike Stevens de empresa de seguridad
informtica
con una memoria suficientemente grande, podemos
llamar QueryWorkingSet de nuevo para recuperar la
informacin acerca de las pginas residente en la
memoria. La API QueryWorkingSet devolver las
direcciones en el espacio virtual para cada pgina
fsica que se asigna a la memoria virtual del proceso.
Normalmente se utiliza VirtualQuery para acceder a la
memoria pero en este caso no. Ambas tcnicas le dar
acceso a la misma memoria virtual, pero de una
manera diferente.

Cherry Picker Malware

Comenta Mike Stevens de empresa de seguridad
informtica que documentacin de la API de Microsoft
describe el conjunto de trabajo como:
"El conjunto de trabajo de un programa es una
coleccin de esas pginas en su espacio de
direcciones virtuales que han sido recientemente
referenciados. Incluye datos compartida y privados"
Esencialmente, QueryWorkingSet est accediendo a la
memoria virtual de una pgina a la vez, mientras que
VirtualQuery accede a la memoria a travs de un rango
variable.
As Cherry Picker usa nueva tcnica para raspar la
memoria con la API QueryWorkingSet de Windows.

CONTACTO

w w w.w e bi m pr i nt s . co m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845