2 Consejos Más Recientes Que Puede Aprender Al Asistir Resumen Para Ejemplo De Currículum

Análisis izados por Investigadores de ESET sobre variantes que aparecieron regularmente desde 2017 indican que Zebrocy está siendo activamente actualizada y mejorada por su/s autor/es.

A Resume Summary Examples #examples #resume #ResumeExamples #summary ... - summary for resume example

El grupo Sednit –tamén conocido como APT28, Fancy Bear, Sofacy o STRONTIUM ─ es un grupo de atacantes que operan desde el 2004, o incluso antes, y cuyo principal objetivo es robar información confidencial de objetivos específicos.

Cerca de finales de 2015 comenzamos a observar un nuevo componente distribuido por el grupo: se trata de un downloader para el principal backdoor de Sednit: X. A principio de 2017 Kaspersky mencionó por primera vez este componente en su reporte de tendencias APT y recientemente escrió un ículo donde brevemente lo describen bajo el nombre Zebrocy.

Este nuevo componente es una familia de malware que comprende downloaders y backdoors escritos en  Delphi y AutoIt. Estos componentes tienen el mismo rol tanto en el ecosistema de Sednit como en el de Seduploader; la primera etapa del malware.

Hs visto que algunas de las víctimas que han sido blanco de Zebrocy se ucan en Azerbaiyán, Bosnia y Herzegovina, Egipto, Georgia, Irán, Kazajistán, Rusia, Araa Saudita, Sera, Suiza, Tayikistán, Turquía, Turkmenistán, Ucrania, Uruguay y Zimbabue. Estos objetivos incluyen embajadas, ministerios de asuntos exteriores, y diplomáticos.

La familia Zebrocy está conformada por tres componentes. Según su orden de aparición, estos : un downloader Delphi, un downloader AutoIt y un backdoor Delphi. La imagen 1 muestra la relación entre cada uno de estos componentes.

En este ículo descrirs esta familia y cómo es que puede coexistir con la antigua herramienta de reconocimiento Seduploader, así como tamén al final hablars de ciertas similitudes y diferencias de Downdelph.

Figura 1 – Ecosistema de Sednit

La imagen 1 muestra el malware activo y los métodos de ataque utilizados por Sednit, donde el uso de adjuntos a través del correo es el principal punto de entrada al ecosistema Sednit. Según un ículo recientemente ado por el equipo de Palo Alto Nets, DealersChoice sigue utilizándose. Ambos, tanto Seduploader como Zebrocy, están siendo distribuidos de manera activa por el grupo Sednit a través de adjuntos en correos. Finalmente, luego de una fase de reconocimiento, X y Xtunnel desplegados hacia objetivos considerados interesantes por quienes los operan.

El primer componente de un ataque basado en Zebrocy llega como un correo electrónico. Las víctimas tentadas para abrir el adjunto de un correo que pueden ser un doento de Microsoft Office o un archivo.

Los doentos maliciosos utilizados por Sednit desgan el payload que se enga de la primera etapa a través de Visual Basic para aplicaciones (VBA), exploits o incluso utilizando Dynamic Data Exchange (DDE). A fines de 2017, el grupo Sednit lanzó dos campañas en las que enviaba dos tipos de doentos maliciosos. El primero fue llamado Syria – New Russia provocations.doc y el segundo fue llamado Note Letter Mary Christmas Card.doc.

Figura 2 – Doentos maliciosos de Zebrocy

 

Ambos doentos maliciosos contienen una macro VBA que crea un archivo nombrado de manera aleatoria en %TEMP%. El malware ejecutable es entonces decodificado y escrito en este archivo, el cual es luego ejecutado a través de un comando PowerShell o mediante Scriptable Shell Objects.

Example of Visual Basic function and base64 encoded stage from Syria – New Russia provocations.doc doent.

Algunas campañas utilizaron un archivo para inyectar la primera etapa en la computadora de la víctima, en lugar de hacerlo a través de macros de doentos de Office; y probablemente esos archivos llegaban a destino como adjuntos en un correo.

Toda la primera etapa de la familia Zebrocy está compuesta por ejecutables con un ícono y un nombre de archivo con apariencia de doento que intenta engañar a la víctima, tal como se muestra en la Figura 3.

Figura 3 – Primera fase de Zebrocy utilizando el ícono de un doento de Word

Un downloader Delphi es la primera etapa de la familia Zebrocy, a pesar de que hs visto algunas campañas del grupo Sednit en las que en su lugar utilizan el downloader AutoIt directamente. La mayoría de estos downloaders narios Delphi utilizan íconos de doentos de Office u otros como los de la librería de Windows, y en algunas ocasiones estas muestras se empaquetan con UPX, un compresor de ejecutables gratuito. El propósito en esta primera etapa es recuperar un máximo de información de la computadora de la víctima.

Cuando el malware es lanzado, aparece una ventana emergente con un falso mensaje de error que incluye el nombre del archivo del nario droppeado. Por ejemplo, si el nombre del archivo es srsiymyw.exe, el nombre de archivo que aparece en la ventana emergente será srsiymyw.doc (Ver Figura 4). El propósito del pop up que se abre es distraer al usuario y hacerle creer que no está sucediendo nada extraño en su computadora.

Figura 4 – Ventana emergente del downloader Delphi

De hecho, el downloader está ocupado creando un archivo en %TEMP% con un nombre de archivo codeado en el nario (a pesar de que en esta etapa el archivo está vacío). La persistencia se implementa al agregar una llave de registro de Windows en HKCUSoftwareMicrosoftWindowsCurrentVersionRun con la ruta del nombre del archivo codificado.

Para reunir información, el malware crea un nuevo proceso utilizando la función CreateProcess de la API de Windows con cmd.exe /c SYSTEMINFO & TASKLIST como argumento lpCommandLine. Una vez que la información se recupera, envía el resultado a través de una solicitud HTTP POST al servidor C&C especificado en el nario. Esta acción la repite hasta que recibe la siguiente etapa.

Delphi downloader HTTP POST request

Una vez que la solicitud se envió, el servidor C&C responde enviando la próxima etapa, siempre que el blanco infectado sea considerado de interés por el operador. El tiempo que transcurre entre que se envía el reporte y se recibe el payload es de unas pocas horas. Esta siguiente etapa se escribe en el archivo creado anteriormente y se ejecuta.

El downloader AutoIt es otra capa de la fase de reconocimiento durante la infección de la computadora de la víctima. De aquí en adelante, dos escenarios posibles: en el primero, la primera etapa es el downloader Delphi y la segunda etapa ─la cual es el downloader AutoIt─ consiste en un downloader más liviano. En el segundo escenario posible, el downloader AutoIt es la primera etapa y tiene todas las funcionalidades del downloader Delphi e incluso más tamén.

Cuando el downloader AutoIt es la primera de las etapas iza muchas funciones de reconocimiento. Incluso compe algunas similitudes con el downloader Delphi, como el mecanismo de persistencia y la ventana emergente, pero agrega más detalle a la fase de reconocimiento que el downloader Delphi. A continuación, compimos una lista (no exhaustiva) de sus capacidades:

Dependiendo de la etapa previa, el nombre del nario AutoIt es diferente. Si el malware es lanzado como la primera etapa, tiene nombre de doento. De otra manera, se le asigna el nombre codificado con el downloader Delphi, tal como se ve en la Tabla 1.

Table 1: AutoIt nary filenames, depending of the stage

First Stage

AutoIt nary Filenames

Delphi downloader

csrsvc.exe

Resume-Examples For Executive Summary With Management Qualifications ... - summary for resume example

Email attachment

Protocol List_20160606.exe

El propósito de esta etapa es más o menos el mismo que el de la previa.  Existen muchas versiones disponibles, pero todas incluyen al menos el código para lograr lo siguiente:

De la misma manera que el downloader Delphi tiene una ventana emergente, el AutoIt tamén tiene una ventana emergente cuando viene desde el adjunto de un correo ─el AutoIt es la primera etapa. La ventana emergente está relacionada con el programa representado por el ícono del nario. Por ejemplo, un downloader AutoIt con ícono de Adobe Reader despliega una ventana emergente que dice que el archivo PDF que la víctima pretende abrir está corrupto.  Un nario AutoIt bajo un ícono de Word desplegará el siguiente popup solicitando la contraseña. Aunque como la contraseña no es considerada en este punto; cres que se trata simplemente de una manera de distraer a la víctima de la actividad mente maliciosa del código.

Figura 5 – Popup de Word downloader Delphi

El backdoor Delphi es la fase final de la cadena de componentes que conforman a Zebrocy. En el pasado hs visto a Zebrocy desgar el backdoor principal del grupo Sednit, llamado X.

A diferencia de los componentes anteriores, éste tiene un número de versión interno que no parece estar relacionado a una campaña en picular. Este número de versión ha evolucionado con el correr del tiempo, tal como se puede apreciar en la Tabla 2:

Table 2: Delphi backdoor internal version hi

Es importante aclarar que no contamos con el panorama completo y puede que nos hayamos perdido de algunas versiones del backdoor. Además, existe cierta superposición entre versiones, lo que indica que algunas versiones más antiguas siguen siendo utilizadas al mismo tiempo que las versiones nuevas.

En los próximos párrafos detallars algunas de las diferencias que hs visto en el malware durante su evolución. El backdoor incorpora un bloque de configuración cuyos valores caman entre las distintas muestras, aunque la lista de ítems configurables se mantiene siempre igual.  Sin embargo, la forma en que almacenados los datos de configuración en la muestra del malware ha ido evolucionando a través del tiempo.

La primera versión del backdoor embebía los datos de la configuración en texto plano, como se puede apreciar en la imagen 6.

Figura 6 – datos de configuración en texto plano del backdoor Delphi

Luego, en versiones posteriores, los autores del malware codifion los datos de configuración en cadenas hexadecimales, como se puede ver en la imagen 7.

Figura 7 – datos de configuración codificada del backdoor Delphi

En las últimas versiones, los datos de configuración cifrados dentro de los recursos utilizando el algoritmo AES, mientras que en versiones más antiguas los almacenaba en la sección .text

Los datos de configuración contienen:

Una vez que el malware es configurado, ejecuta llamadas a otras funciones a través de la función SetTimer de la API de Windows. Estas llamadas permiten al operador manipular varias funciones y comandos del backdoor.

El número de comandos que manipula el backdoor ─ cerca de 30 ─ difiere de una versión a la siguiente. Para comunise con el servidor C&C, el backdoor almacena el reporte de esas funciones en un archivo temporario. Luego leerá el contenido del archivo temporal y lo enviará. Estos archivos temporales almacenados en uno de los directorios ocultos creados durante la fase de configuración.

Delphi backdoor POST request

El contenido del tempfilename es la salida de cualquier comando ejecutado. El contenido es cifrado utilizando el algoritmo de AES-256-ECB con la primer llave AES de los datos de configuración, luego la salida es codificada de forma hexadecimal. El contenido enviado al servidor C&C varía de un comando a otro, pero todos contienen al menos el número de serie del disco rígido y los primeros cuatro bytes del nombre de la computadora. Por ejemplo, HELLO corresponde al primer paquete enviado por el backdoor para establecer contacto con el servidor C&C. Como se muestra más abajo, contiene la fecha de cuando se lanzó la tarea, el número de la versión interna del backdoor Delphi, el número de serie del HDD, el nombre de la computadora (primeros cuatro bytes), el comando y la fecha de cuando se ejecutó el backdoor.

St: 1/4/2018 1:37:00 PM – []:42424242ESET-HELLO-[2018-04-04 01-37-00]-315.TXT.

La segunda llave AES en los datos de configuración es utilizada para descifrar la respuesta del servidor C&C. Al igual que Seduploader, este backdoor es utilizado para desplegar X en la computadora de la víctima, luego de que tras la fase de reconocimiento haya sido considerada una máquina de interés para el operador.

Un componente escrito en Delphi no resulta algo nuevo para el grupo Sednit, ya que anteriormente utilizó este mismo lenguaje para Downdelph. Sin embargo, incluso sin que este último componente tenga algo en común con Downdelph “técnicamente hablando”, hay algunos puntos que vale la pena mencionar.

Pods plantear la hipótesis de que el grupo Sednit abandonó un componente y comenzó a desarrollar uno nuevo. Sin embargo, una cosa que no camo para el grupo los errores que cometieron:

El array de bytes usados por el backdoor Delphi como llaves AES-256 de una longitud de 38 bytes en lugar de 32. No se trata de un error de deletreo; más en de falta de atención.

Hs visto que Zebrocy ha sido muy utilizado por el grupo Sednit a lo largo de los últimos dos años. Nuestro análisis de varias de las nuevas variantes que aparecieron sobre una base regular desde 2017 indican claramente que Zebrocy se mantiene activo y bajo constante mantenimiento por su autor(es). Por lo tanto, pods considerarlo como una de las herramientas estables y maduras del arsenal del grupo Sednit; una herramienta que merece ser monitoreada de cerca.

Malicious doents

Delphi downloader

AutoIt downloader

Delphi backdoor

http://142[.]0.68.2/test-update-16-8852418/temp727612430/checkUpdate89732468.php
http://142[.]0.68.2/test-update-17-8752417/temp827612480/checkUpdate79832467.php
http://185[.]25.50.93/syshelp/kd8812u/protocol.php
http://185[.]25.50.93/tech99-04/litelib1/setwsdv4.php
http://185[.]25.50.93/techicalBS391-two/supptech18i/suppid.php
http://185[.]25.51.114/get-help-software/get-app-c/error-code-lookup.php
http://185[.]25.51.164/srv_upd_dest_two/destBB/en.php
http://185[.]25.51.198/get-data/searchId/get.php
http://185[.]25.51.198/stream-upd-service-two/definition/event.php
http://185[.]77.129.152/wWpYdSMRulk/arpz/MsKZrpUfe.php
http://188[.]241.68.121/update/dB-Release/NewBaseCheck.php
http://194[.]187.249.126/database-update-centre/check-system-version/id=18862.php
http://194[.]187.249.126/security-services-DMHA-/info-update-version/id77820082.php
http://213[.]103.67.193/ghflYvz/vmwWIdx/ui.php
http://213[.]252.244.219/client-update-info/version-id/version333.php
http://213[.]252.244.219/ulative-security-update/Summary/details.php
http://213[.]252.245.132/search-release/Search-Version/crmclients.php
http://213[.]252.245.132/setting-the-os-release/Support-OS-release/ApiMap.php
http://220[.]158.216.127/search-sys-update-release/base-sync/db7749sc.php
http://222[.]15.23.121/t_piyes/ndhfkuryhs09/fdfd_iunb_hhert_ps.php
http://46[.]102.152.127/messageID/get-data/SecurityID.php
http://46[.]183.223.227/services-check-update/security-certificate-11-554/CheckNow864.php
http://80[.]255.6.5/daily-update-certifaicates52735462534234/update-15.dat
http://80[.]255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
http://86[.]105.18.106/apps.update/DetailsID/clientPID-118253.php
http://86[.]105.18.106/data-extract/timermodule/update-client.php
http://86[.]105.18.106/debug-info/pluginId/CLISD1934.php
http://86[.]105.18.106/ram-data/managerId/REM1234.php
http://86[.]105.18.106/versionID/Plugin0899/debug-release01119/debug-19.app
http://86[.]105.18.111/UpdateCertificate33-33725cnm^BB/CheckerNow-saMbA-99-36^11/CheckerSerface^8830-11.php
http://86[.]106.131.177/srvSettings/conf4421i/support.php
http://86[.]106.131.177/SupportA91i/syshelpA774i/viewsupp.php
http://89[.]249.65.166/clientid-and-uniqued-r2/the-differenceU/Events76.php
http://89[.]249.65.166/int-release/check-user/userid.php
http://89[.]249.65.234/guard-service/Servers-ip4/upd-release/mdb4
http://89[.]40.181.126/verification-online/service.911-19/check-verification-88291.php
http://89[.]45.67.153/grenadLibS44-two/fIndToClose12t3/sol41.php
http://89[.]45.67.153/supportfsys/t863321i/func112SerErr.php
http://93[.]113.131.117/KB7735-9927/security-serv/opt.php
http://93[.]113.131.155/Verifica-El-Lanzamiento/Ayuda-Del-Sistema/obtenerId.php
http://93[.]115.38.132/wWpYdSMRulk/arpz/MsKZrpUfe.php
http://rammatica[.]com/QqrAzMjp/CmKjzk/EspTkzmH.php
http://rammatica[.]com/QqrAzMjp/CmKjzk/OspRkzmG.php

2 Consejos Más Recientes Que Puede Aprender Al Asistir Resumen Para Ejemplo De Currículum – summary for resume example
| Usted necesita escrir o modernizar un curriculum vitae usar a un responsalidad Un currículum es un Noticias que profesiones destinos puntos. Su curriculum vitae ofrece un space en su recuerdos profesional y es uno de los doentos importantes doentos in en su búsqueda de empleo, ya que proporciona la primera impresión vital sobre un comité de contratación.

Antes de empezar a escrir su currículum, seleccione|elegir|elegir|elegir|elegir|elegir|elegir un tipo de currículum que destaque Desta sus fortalezas y logros, Crítica qué información incluir en su currículum y ejemplos de cada pe de un currículum y, a continuación, seleccione un formato de resumen Normal. Cuando reexaminar os y ilustraciones, elegir el formato que es mejor para su lugar Punto muerto. Aunque todos los currículos deben proporcionar información sobre su trabajo y educación experiencia, así como sus halidades y izaciones, hay diferentes maneras de presentar esta información|la información recopilada. Esta es una muestra de un summary for resume example
donde task experiencia se proporciona en, comenzando con la posición más reciente. Garantía los siguientes doentos list para más ilustraciones normas.

Other Collections of 2 Consejos Más Recientes Que Puede Aprender Al Asistir Resumen Para Ejemplo De Currículum

Professional Summary Resume Examples Inspirational Example ..Summary For Resume Example Latest Professional On Career Examples ..Resume Examples For Executive Summary With Management Qualifications ..How to Write a Winning CNA Resume: Objectives, Skills, Examples   summary for resume exampleprofessional summary resume sample for statement examples writing ..How to Write a Resume Summary Statement With Examples   summary for resume exampleResume Summary Examples And Get Inspiration To Create The Resume ..How to Write a Professional Summary on a Resume? [+Examples ..