instituto

internacional de
seguridad
ciberntica
Malware Hammertoss

soluciones de seguridad informtica, informtica forense, Curso de

seguridad en redes

Qu es el malware Hammertoss
HAMMERTOSS malware busca instrucciones en
Twitter. El malware contiene un algoritmo que
genera un handle diaria de Twitter, que es una ID
de cuenta de usuario. Para crear handles, el
algoritmo emplea un nombre base, como "Dob", y
aade y antepone tres valores CRC32 en base a la
fecha. Cada muestra HAMMERTOSS crear un
handle de Twitter diferente cada da. Los hackers
suelen configura HAMMERTOSS para comunicarse
dentro de ciertas restricciones, como solamente el
control de handle de twitter el lunes a viernes o
despus de una fecha de inicio especificada
mencionan expertos de soluciones de seguridad
informtica .

El malware Hammertoss
Dicen expertos de soluciones de seguridad
informtica que Si hacker ha registrado un handle
de Twitter ese da, va a twittear una URL y un
hashtag. La URL dirige HAMMERTOSS a una pgina
web que contiene una imagen o imgenes. El
hashtag proporciona un nmero que representa
una ubicacin dentro del archivo de imagen y
caracteres para anexar a una clave de cifrado
para descifrar las instrucciones dentro de la
imagen. El uso de Twitter como intermediario para
entregar la segunda etapa CNC para
HAMMERTOSS permite hacker para dirigir de forma
dinmica la herramienta.

Cmo Funciona
El malware utiliza un algoritmo para generar cientos
de Twitter handles anualmente para los potenciales
CNC. Muchos de ellos son no registrado, como
hackers elige registrar asa un da en particular de
como sea necesario y por delante. Este pequeo
nmero de cuentas registradas permite al grupo
para mantener un tamao reducido. Otras
herramientas utilizan Twitter para transmitir
instrucciones, incluyendo:
MiniDuke, puerta trasera con sede en Windows
que es una herramienta de Rusia.
la botnet Sninfs
Flashback, una puerta trasera basado en Mac
explica profesor de curso de seguridad en redes.

Cmo Funciona
Expertos de curso de seguridad en redes dicen que
Malware en continuacin, utiliza la Aplicacin
explorador de IE para visitar la URL especificada en
un tweet. Hemos observado URLs conducen a
cuentas especficas GitHub o sitios web
comprometidos. Una vez HAMMERTOSS obtiene el
GitHub URL de su cuenta de Twitter a diario, visita a
la URL y descarga los contenidos de la pgina,
incluyendo los archivos de imagen segn expertos
de informtica forense .

Cmo Funciona
Descarga el contenido de la pgina web a la
cach del navegador de Internet Explorer y busca
en la memoria cach de las imgenes por lo
menos tan grande como el desplazamiento
especificado en el tweet. Mientras que la imagen
parece normal, en realidad contiene los datos
esteganogrfico. La esteganografa es la prctica
de ocultar un mensaje, imagen o archivo dentro
de otro mensaje, imagen o archivo. En este caso,
la imagen contiene anexa y cifrado de datos que
HAMMERTOSS descifrar y ejecutar segn
capitacin de anlisis informtica forense .

CONTACTO

w w w. i i c y b e r s e c u r i t y. c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845