Troyano Bookworm

1
instituto internacional de seguridad cibernética
Troyano Bookworm soluciones de seguridad
informática, informática forense, Curso de
seguridad en redes
2
Qué es troyano Bookworm
Troyano Bookworm es radicalmente diferente de
PlugX RAT y tiene una arquitectura modular y
única. Bookworm tiene poca funcionalidad
malicioso incorporado, con su única habilidad
básica que involucra el robo de las pulsaciones
del teclado y el contenido del clipboard. Sin
embargo, Bookworm amplía sus capacidades a través
de su capacidad de cargar módulos adicionales
directamente de desde su comando y control (C2)
servidor. Bookworm tiene muchas capas que
aumentan la complejidad de su arquitectura
general mencionan expertos de soluciones de
seguridad informática .
3
El troyano Bookworm
Dicen expertos de soluciones de seguridad
informática que el autor utiliza varios
algoritmos no sólo para cifrar y descifrar
archivos guardados en el sistema, sino también
para cifrar y descifrar comunicaciones de red
entre Bookworm y sus servidores de C2. El troyano
tiene un RAR auto-extraíble. El RAR autoextraíble
escribe un ejecutable legítimo, un DLL creado
llamada Loader.dll y un archivo llamado
readme.txt en el sistema y después ejecuta el
ejecutable legítimo. Loader.dll descifra el
archivo de readme.txt utilizando un algoritmo XOR
de tres bytes con 0xd07858 como una clave, que se
traduce en código shell que se encarga de
descifrar el resto del archivo readme.txt.
4
Cómo Funciona
El código shell entonces carga el Bookworm
cargando manualmente otro DLL llamada
"Leader.dll" en el readme.txt descifrado y pasa
búfer para Leader.dll que contiene adicional
DLLs. Líder es el módulo principal de Bookworm y
controla todas las actividades del troyano, pero
depende de los archivos dll adicionales para
proporcionar funcionalidades específicas. Para
cargar módulos adicionales, líder analiza el
búfer pasado a él por el código de shell en el
archivo readme.txt para los otros archivos dll
explica profesor de curso de seguridad en redes.
5
Cómo Funciona
Expertos de curso de seguridad en redes dicen que
los desarrolladores de Bookworm han incluido
únicamente funciones de keylogging en Bookworm
como una capacidad base. Los desarrolladores han
diseñado Bookworm como un troyano modular no se
limita a solo la arquitectura inicial del
troyano, ya que bookworm puede cargar módulos
adicionales proporcionados por el servidor de C2.
La capacidad de cargar módulos adicionales desde
el C2 extiende las capacidades del troyano para
dar cabida a las actividades de que los hackers
se necesitan para llevar a cabo en el sistema
comprometido.
6
Cómo Funciona
Bookworm utiliza una máquina de estado para
realizar un seguimiento de y llevar a cabo las
comunicaciones entre el sistema comprometido y el
servidor C2. Los desarrolladores de Bookworm han
ido a las grandes longitudes para crear un marco
modular que es muy flexible por su capacidad para
ejecutar módulos adicionales directamente desde
su servidor de C2. No sólo es esta herramienta
altamente capaz, pero también requiere un muy
alto nivel de esfuerzo a analizar debido a su
arquitectura modular y el uso de funciones de la
API dentro de los módulos adicionales según
capitación de análisis informática forense .
7
CONTACTO
www.iicybersecurity.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420633
  West Germantown Pike 272Plymouth Meeting, PA
  19462 United States Sixth Floor, Aggarwal
  Cyber Tower 1Netaji Subhash Place, Delhi NCR,
  110034IndiaIndia Tel 91 11 4556 6845