Malware Hammertoss

1
instituto internacional de seguridad cibernética
Malware Hammertoss soluciones de seguridad
informática, informática forense, Curso de
seguridad en redes
2
Qué es el malware Hammertoss
HAMMERTOSS malware busca instrucciones en
Twitter. El malware contiene un algoritmo que
genera un handle diaria de Twitter, que es una ID
de cuenta de usuario. Para crear handles, el
algoritmo emplea un nombre base, como "Dob", y
añade y antepone tres valores CRC32 en base a la
fecha. Cada muestra HAMMERTOSS creará un handle
de Twitter diferente cada día. Los hackers suelen
configura HAMMERTOSS para comunicarse dentro de
ciertas restricciones, como solamente el control
de handle de twitter el lunes a viernes o después
de una fecha de inicio especificada mencionan
expertos de soluciones de seguridad informática .
3
El malware Hammertoss
Dicen expertos de soluciones de seguridad
informática que Si hacker ha registrado un handle
de Twitter ese día, va a twittear una URL y un
hashtag. La URL dirige HAMMERTOSS a una página
web que contiene una imagen o imágenes. El
hashtag proporciona un número que representa una
ubicación dentro del archivo de imagen y
caracteres para anexar a una clave de cifrado
para descifrar las instrucciones dentro de la
imagen. El uso de Twitter como intermediario para
entregar la segunda etapa CNC para HAMMERTOSS
permite hacker para dirigir de forma dinámica la
herramienta.
4
Cómo Funciona
El malware utiliza un algoritmo para generar
cientos de Twitter handles anualmente para los
potenciales CNC. Muchos de ellos son no
registrado, como hackers elige registrar asa un
día en particular de como sea necesario y por
delante. Este pequeño número de cuentas
registradas permite al grupo para mantener un
tamaño reducido. Otras herramientas utilizan
Twitter para transmitir instrucciones,
incluyendo MiniDuke, puerta trasera con sede
en Windows que es una herramienta de Rusia. la
botnet Sninfs Flashback, una puerta trasera
basado en Mac explica profesor de curso de
seguridad en redes.
5
Cómo Funciona
Expertos de curso de seguridad en redes dicen que
Malware en continuación, utiliza la Aplicación
explorador de IE para visitar la URL especificada
en un tweet. Hemos observado URLs conducen a
cuentas específicas GitHub o sitios web
comprometidos. Una vez HAMMERTOSS obtiene el
GitHub URL de su cuenta de Twitter a diario,
visita a la URL y descarga los contenidos de la
página, incluyendo los archivos de imagen según
expertos de informática forense .
6
Cómo Funciona
Descarga el contenido de la página web a la caché
del navegador de Internet Explorer y busca en la
memoria caché de las imágenes por lo menos tan
grande como el desplazamiento especificado en el
tweet. Mientras que la imagen parece normal, en
realidad contiene los datos esteganográfico. La
esteganografía es la práctica de ocultar un
mensaje, imagen o archivo dentro de otro mensaje,
imagen o archivo. En este caso, la imagen
contiene anexa y cifrado de datos que HAMMERTOSS
descifrará y ejecutará según capitación de
análisis informática forense .
7
CONTACTO
www.iicybersecurity.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420633
  West Germantown Pike 272Plymouth Meeting, PA
  19462 United States Sixth Floor, Aggarwal
  Cyber Tower 1Netaji Subhash Place, Delhi NCR,
  110034IndiaIndia Tel 91 11 4556 6845