international

institute of cyber
securty
RIG Malware
Capacitacin de hacking tico
curso de Seguridad Informtica
certificaciones seguridad informtica

Rig Malware
En primer lugar, el cliente RIG necesita una URL a
la que se puede redirigir el trfico a explotar las
mquinas de las vctimas. Con el fin de infectar a
las vctimas, el cliente RIG tiene que elegir una
carga til y subirlo a travs del panel de
administracin. Una vez que el cliente cargue
RIG la carga til, el siguiente paso es apuntando
vctimas a la pgina de la infeccin.
Investigadores de curso hacking tico dicen que
Sin embargo, con el fin de evadir la deteccin
por los filtros web y listas de URL, la pgina de
destino tiene que actualizar peridicamente.

Rig Malware
Segn curso de Seguridad Informtica, RIG
proporciona una API para este fin que crea
nuevas, URLs infeccin vlidos bajo demanda. La
direccin URL ser en el siguiente formato:

hxxp://[RIG-InstanceServer]/api.php?apitoken=[API TOKEN]
El "TOKEN API" al final de la direccin URL es una
clave nica que combina ID del usuario con la
corriente "ID de flujo", serializa la combinacin y
encripta usando RC4 con una clave privada slo
configurable por el administrador principal RIG.

Cmo funciona RIG Malware

Cada usuario RIG puede tener hasta 2 flujos
distintos, lo que permite las infecciones a travs
de diferentes cargas tiles para cada flujo.
La salida de la URL es la direccin URL "proxy"
que funciona como la "pgina de la infeccin".
Cada peticin a una URL PROXY contiene token
de un cliente RIG para la campaa especfica.
Bsicamente, todos los clientes que utilizan el
mismo servidor de exploit kit RIG comparten el
PROXY URL, sealan expertos con certificaciones
seguridad informtica.

Cmo funciona RIG Malware

Acuerdo con consejos de, maestro de curso de
Seguridad Informtica, el URI se divide en 2 partes
separadas por el carcter "|". La primera parte es
la cadena cifrada es en realidad una URL de un
servidor diferente que se encarga de las solicitudes
para cargar un exploit y enviarlo de vuelta a la
mquina de la vctima. La segunda parte de la
estructura de la URL es menos emocionante. El
objetivo es asegurarse de que la URL no es vlida
despus de un cierto perodo de tiempo - que es
configurable por el RIG explotar kit de
administracin; el valor predeterminado es 720
segundos (12 minutos).

Cmo funciona RIG Malware

Investigadores de curso hacking tico
mencionan que esta tcnica es muy eficaz ya
que despus de 12 minutos de la URL no
funciona y es intil para los investigadores de
seguridad que tratan de analizar dichas URLs.

Virtual Dedicated Server - VDS sirve como un

generador de explotar. El objetivo principal es
evitar la deteccin por mantener esos servidores
ocultos del mundo.

Cmo funciona Rig Malware

El VDS enva una solicitud al servidor de
administracin RIG junto con informacin sobre el
equipo de la vctima y le pregunta para la carga
til relevante que debe ser entregado.

La carga til se tira desde el servidor de

administracin RIG y se cifra usando una clave
RC4 (una clave distinta de la anterior) para evitar
la deteccin antivirus segn expertos con
certificaciones seguridad informtica de
international institute of cyber security

CONTACTO

w w w. i i c y b e r s e c u r i t y. c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845