當(dāng)前位置: 首頁 » 綜合資訊 » 收單pos機(jī) » POS機(jī)流量卡 »

揭秘:針對(duì)PoS機(jī)的惡意軟件工具箱

發(fā)布日期:2014-11-25  中國(guó)POS機(jī)網(wǎng)

最近兩年,POS惡意軟件由于塔吉特、家得寶、Kmart遭遇的pos機(jī)攻擊而被廣泛關(guān)注。隨著“黑色星期五”購(gòu)物季的到來,PoS機(jī)惡意軟件必定會(huì)受到關(guān)注。


PoS攻擊者們不會(huì)僅僅依賴他們自己的惡意軟件進(jìn)行攻擊、竊取受害者數(shù)據(jù)。他們還會(huì)用上大量其他的工具達(dá)到目的。有些是系統(tǒng)管理員也會(huì)用的如putty,還有些是微軟提供的Sysinternals Suite工具包中的軟件。

 
通過黑客們使用的這些工具我們可以更加了解他們的情況。


大多數(shù)PoS終端機(jī)都不安全


不幸的是,PoS終端和PoS環(huán)境基本都是不安全的。這給攻擊者提供了極好的機(jī)會(huì)。黑客攻擊PoS終端的方式多種多樣,其中一種是通過VNC(Virtual Network Computing,虛擬網(wǎng)絡(luò)計(jì)算)。

一般來說,PoS機(jī)要么無需用戶名密碼,要么使用弱口令。這給黑客們提供了極好的機(jī)會(huì)。

微軟的遠(yuǎn)程桌面協(xié)議(RDP)也是PoS環(huán)境中的容易被黑客利用的工具。與VNC一樣,RDP配置基本是無需密碼或者是弱口令。

 
BackOff 工具包

今年年初,趨勢(shì)科技發(fā)布了一篇報(bào)告詳細(xì)說明各種針對(duì)PoS的惡意軟件,其中就包括了著名的BackOff。2014年7月,BackOff開始流行起來并被廣泛使用,主要是因?yàn)樗軌蜃远x打包以混淆代碼,使得研究人員難以逆向其代碼。

 
BackOff會(huì)一直與命令與控制服務(wù)器(command-and-control, C&C)以傳輸獲得的數(shù)據(jù)或者接收配置更新。除此之外,這些服務(wù)器會(huì)被用來與被入侵的設(shè)備傳輸工具軟件。當(dāng)攻擊者要攻擊多個(gè)設(shè)備時(shí),他們會(huì)用這些服務(wù)器將惡意軟件傳輸?shù)絇oS,以減少工作量。

 
在研究BackOff的過程中,一份特別的樣本引起了我們的注意 – r0.exe。我們發(fā)現(xiàn)這個(gè)樣本連接到了http://143biz.cc.md-14.webhostbox.net。這個(gè)C&C服務(wù)器包含了大量的信息,包括攻擊者使用的工具,他們?nèi)绾未鎯?chǔ)數(shù)據(jù)等。我們注意到攻擊者在入侵PoS機(jī)后,會(huì)使用一連串的工具。

 
服務(wù)器中有多個(gè)文件,我們會(huì)在下文中列舉說明。這不是服務(wù)器文件的完整列表,但足以說明一些情況。

 
r0.exe (MD5校驗(yàn)值: 7a5580ddf2eb2fc4f4a0ea28c40f0da9):

 
一份BackOff樣本,編譯于2014年10月22日。程序連接以下2個(gè)C&C服務(wù)器:
 
https://cyberwise.biz/register/register.php
https://verified-deal.com/register/register.php
r0.exe還會(huì)創(chuàng)建互斥體aMD6qt7lWb1N3TNBSe4N。
3-2.exe (MD5校驗(yàn)值: 0fb00a8ad217abe9d92a1faa397842dc):
一份BackOff樣本,編譯于2014年10月22日,稍早于r0.exe。程序連接以下服務(wù)器:
 

 
https://kitchentools.ru/phpbb/showtopic.php
https://cyclingtools.ru/phpbb/showtopic.php
https://biketools.ru/phpbb/showtopic.php

DK Brute priv8.rar (MD5校驗(yàn)值: 028c9a1619f96dbfd29ca64199f4acde) :
此壓縮包包含多個(gè)工具和文件,其中就包括SSH/telnet客戶端putty.exe。還有UltraVNCViewerPortable.exe和WinSCP,這些工具都是被用來連接遠(yuǎn)程系統(tǒng)和傳輸文件的。
壓縮包中還包括DK Brute.exe,這是一款調(diào)用字典對(duì)Windows RDP和其他遠(yuǎn)程連接協(xié)議進(jìn)行爆破的工具。
IPCity.rar (MD5校驗(yàn)值: 9223e3472e8ff9ddfa0d0dbad573d530) :

此壓縮中包含三份文件,其中包括:GeoLiteCity.csv,用于標(biāo)記國(guó)家。這份文件似乎是之前從Maxmind下載的,Maxmind是一家提供IP與地理經(jīng)緯度查詢數(shù)據(jù)庫(kù)的公司。

包內(nèi)還有一個(gè)ip_city.exe。此軟件可以用來把國(guó)家/城市轉(zhuǎn)換成IP段。

 

 
VUBrute 1.0.zip (MD5校驗(yàn)碼: 01d12f4f2f0d3019756d83e94e3b564b) :

這是一個(gè)密碼保護(hù)的ZIP文件,壓縮內(nèi)包含一款VNC爆破工具————VUBrute。這款工具在俄羅斯地下論壇十分流行。

 

 
logmein_checker.rar (MD5校驗(yàn)值: 5843ae35bdeb4ca577054936c5c3944e) :

壓縮包內(nèi)是Logmein Checker軟件. LogMeIn是一款流行的遠(yuǎn)程接入軟件. 軟件包含一份用戶名/密碼列表和一份IP/端口列表,用于探測(cè)使用弱口令的LogMeIn。

 

 
portscan.rar (MD5校驗(yàn)碼: 8b5436ca6e520d6942087bb38e97da65) – 包含KPortScan3.exe,是一款基本的端口掃描器. 軟件可以指定IP段和端口號(hào)。從C&C服務(wù)器上的信息來看,黑客用此工具掃描445, 3389, 5900等端口。黑客選擇這款軟件很可能是因?yàn)槠湟子眯浴?/div>

 

 
C&C服務(wù)器分析

通過進(jìn)一步研究C&C(命令與控制)服務(wù)器,我們?cè)趆ttp://143biz.cc.md-14.webhostbox.net發(fā)現(xiàn)了更多的文件總共有5個(gè)不同的惡意病毒樣本,最久的樣本可以追溯到2014年2月。樣本中還包括PoS惡意軟件如Alina。
我們還在服務(wù)器上發(fā)現(xiàn)了一個(gè)目錄: http://143biz.cc.md-14.webhostbox.net/something/login.php?p=Rome0
訪問這個(gè)目錄時(shí)我們沒有收到回應(yīng),于是我們開始尋找倍的網(wǎng)站中有沒有包含字段/something/login.php?p=Rome0的URL。我們的確發(fā)現(xiàn)了另外的URL: https://blog.-wordpress-catalog.com/something/login.php?p=Rome0。
觀察143.biz.cc.md-14.webhostbox.net與wordpress-catalog.com之間的聯(lián)系,我們?cè)贑&C服務(wù)器上發(fā)現(xiàn)一個(gè)目錄: http://143biz.cc.md-14.webhostbox.net/accounts.wordpress-catalog.com. 但訪問這些地址均無回應(yīng)。

 
但當(dāng)我們?cè)L問根目錄是,我們發(fā)現(xiàn)了一個(gè)叫做something.zip (MD5校驗(yàn)值: f9cbd1c3c48c873f3bff8c957ae280c7)的壓縮文件。 這份文件包含的似乎是C&C服務(wù)器上的代碼,還有些包含用戶名和信用卡信息的文本文檔。

 

總結(jié)

 
盡管我們沒有在本貼中展示新工具,但研究黑客所使用的工具十分有趣。

 
我們列舉的這些軟件并不全,但這至少顯示黑客們使用的這些工具并不是非常先進(jìn),他們沒有重復(fù)造輪子,沒有開發(fā)新工具,僅僅使用這些工具就已經(jīng)足夠了。

我們相信這些信息會(huì)對(duì)管理員防范PoS攻擊很有幫助。

 
除了上文提到的,以下是我們?cè)谡{(diào)查過程中參考的所有網(wǎng)址:
 
http://143biz.cc.md-14.webhostbox.net
https://biketools.ru/phpbb/showtopic.php
https://blog.wordpress-catalog.com/
https://cyberwise.biz/register/register.php
https://cyclingtools.ru/phpbb/showtopic.php
https://kitchentools.ru/phpbb/showtopic.php
https://verified-deal.com/register/register.php
打賞
 
?
免責(zé)聲明:
本網(wǎng)站部分內(nèi)容來源于網(wǎng)站會(huì)員、合作媒體、企業(yè)機(jī)構(gòu)、網(wǎng)友提供和互聯(lián)網(wǎng)的公開資料等,僅供參考。本網(wǎng)站對(duì)站內(nèi)所有資訊的內(nèi)容、觀點(diǎn)保持中立,不對(duì)內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。如果有侵權(quán)等問題,請(qǐng)及時(shí)聯(lián)系我們,我們將在收到通知后第一時(shí)間妥善處理該部分內(nèi)容。

圖文推薦

您在本欄的歷史瀏覽
熱門資訊

中國(guó)POS機(jī)行業(yè)權(quán)威門戶網(wǎng)站 引領(lǐng)行業(yè)發(fā)展


微信號(hào):pos580com

網(wǎng)站首頁 | 網(wǎng)站地圖 | 誠(chéng)征英才 | 關(guān)于我們 | 聯(lián)系方式 | 使用協(xié)議 | 版權(quán)隱私 | 排名推廣 | 廣告服務(wù) | 積分換禮 | 網(wǎng)站留言 | RSS訂閱

版權(quán)所有:POS機(jī)網(wǎng) 北京瑞紀(jì)華人科技有限公司 京ICP證060984  |  京ICP備07503063號(hào)

聯(lián)系電話:010-51658061 E-mail:bjsale#pos580.com(請(qǐng)把#替換成@)在線QQ:841617225

站所有信息均屬本站版權(quán)所有,如需轉(zhuǎn)載請(qǐng)注明來源地址 域名:jensthetc.com