揭秘:针对PoS机的恶意软件工具箱

  • A+
所属分类:硬件安全

最近两年,PoS恶意软件由于塔吉特、家得宝、Kmart遭遇的POS机攻击而被广泛关注。随着“黑色星期五”购物季的到来,PoS机恶意软件必定会受到关注。

PoS攻击者们不会仅仅依赖他们自己的恶意软件进行攻击、窃取受害者数据。他们还会用上大量其他的工具达到目的。有些是系统管理员也会用的如putty,还有些是微软提供的SysinternalsSuite工具包中的软件。

通过黑客们使用的这些工具我们可以更加了解他们的情况。

大多数PoS终端机都不安全

不幸的是,PoS终端和PoS环境基本都是不安全的。这给攻击者提供了极好的机会。黑客攻击PoS终端的方式多种多样,其中一种是通过VNC(VirtualNetworkComputing,虚拟网络计算)。

一般来说,PoS机要么无需用户名密码,要么使用弱口令。这给黑客们提供了极好的机会。

微软的远程桌面协议(RDP)也是PoS环境中的容易被黑客利用的工具。与VNC一样,RDP配置基本是无需密码或者是弱口令。

BackOff工具包

今年年初,趋势科技发布了一篇报告详细说明各种针对PoS的恶意软件,其中就包括了著名的BackOff。2014年7月,BackOff开始流行起来并被广泛使用,主要是因为它能够自定义打包以混淆代码,使得研究人员难以逆向其代码。

BackOff会一直与命令与控制服务器(command-and-control,C&C)以传输获得的数据或者接收配置更新。除此之外,这些服务器会被用来与被入侵的设备传输工具软件。当攻击者要攻击多个设备时,他们会用这些服务器将恶意软件传输到PoS,以减少工作量。

在研究BackOff的过程中,一份特别的样本引起了我们的注意–r0.exe。我们发现这个样本连接到了http://143biz.cc.md-14.webhostbox.net。这个C&C服务器包含了大量的信息,包括攻击者使用的工具,他们如何存储数据等。我们注意到攻击者在入侵PoS机后,会使用一连串的工具。

服务器中有多个文件,我们会在下文中列举说明。这不是服务器文件的完整列表,但足以说明一些情况。

r0.exe(MD5校验值:7a5580ddf2eb2fc4f4a0ea28c40f0da9):

一份BackOff样本,编译于2014年10月22日。程序连接以下2个C&C服务器:

https://cyberwise.biz/register/register.php
https://verified-deal.com/register/register.php r0.exe还会创建互斥体aMD6qt7lWb1N3TNBSe4N。

3-2.exe(MD5校验值:0fb00a8ad217abe9d92a1faa397842dc):

一份BackOff样本,编译于2014年10月22日,稍早于r0.exe。程序连接以下服务器:

https://kitchentools.ru/phpbb/showtopic.php

https://cyclingtools.ru/phpbb/showtopic.php

https://biketools.ru/phpbb/showtopic.php DKBrutepriv8.rar(MD5校验值:028c9a1619f96dbfd29ca64199f4acde):

此压缩包包含多个工具和文件,其中就包括SSH/telnet客户端putty.exe。还有UltraVNCViewerPortable.exe和WinSCP,这些工具都是被用来连接远程系统和传输文件的。

压缩包中还包括DKBrute.exe,这是一款调用字典对WindowsRDP和其他远程连接协议进行爆破的工具。

IPCity.rar(MD5校验值:9223e3472e8ff9ddfa0d0dbad573d530):

此压缩中包含三份文件,其中包括:GeoLiteCity.csv,用于标记国家。这份文件似乎是之前从Maxmind下载的,Maxmind是一家提供IP与地理经纬度查询数据库的公司。

包内还有一个ip_city.exe。此软件可以用来把国家/城市转换成IP段。

VUBrute1.0.zip(MD5校验码:01d12f4f2f0d3019756d83e94e3b564b):

这是一个密码保护的ZIP文件,压缩内包含一款VNC爆破工具————VUBrute。这款工具在俄罗斯地下论坛十分流行。

logmein_checker.rar(MD5校验值:5843ae35bdeb4ca577054936c5c3944e):

压缩包内是LogmeinChecker软件.LogMeIn是一款流行的远程接入软件.软件包含一份用户名/密码列表和一份IP/端口列表,用于探测使用弱口令的LogMeIn。

portscan.rar(MD5校验码:8b5436ca6e520d6942087bb38e97da65)–包含KPortScan3.exe,是一款基本的端口扫描器.软件可以指定IP段和端口号。从C&C服务器上的信息来看,黑客用此工具扫描445,3389,5900等端口。黑客选择这款软件很可能是因为其易用性。

C&C服务器分析

通过进一步研究C&C(命令与控制)服务器,我们在http://143biz.cc.md-14.webhostbox.net发现了更多的文件总共有5个不同的恶意病毒样本,最久的样本可以追溯到2014年2月。样本中还包括PoS恶意软件如Alina。

我们还在服务器上发现了一个目录:http://143biz.cc.md-14.webhostbox.net/something/login.php?p=Rome0

访问这个目录时我们没有收到回应,于是我们开始寻找倍的网站中有没有包含字段/something/login.php?p=Rome0的URL。我们的确发现了另外的URL:https://blog.-wordpress-catalog.com/something/login.php?p=Rome0。 

观察143.biz.cc.md-14.webhostbox.net与wordpress-catalog.com之间的联系,我们在C&C服务器上发现一个目录:http://143biz.cc.md-14.webhostbox.net/accounts.wordpress-catalog.com.但访问这些地址均无回应。

但当我们访问根目录是,我们发现了一个叫做something.zip(MD5校验值:f9cbd1c3c48c873f3bff8c957ae280c7)的压缩文件。这份文件包含的似乎是C&C服务器上的代码,还有些包含用户名和信用卡信息的文本文档。

总结

尽管我们没有在本贴中展示新工具,但研究黑客所使用的工具十分有趣。

我们列举的这些软件并不全,但这至少显示黑客们使用的这些工具并不是非常先进,他们没有重复造轮子,没有开发新工具,仅仅使用这些工具就已经足够了。

我们相信这些信息会对管理员防范PoS攻击很有帮助。

除了上文提到的,以下是我们在调查过程中参考的所有网址:

http://143biz.cc.md-14.webhostbox.net

https://biketools.ru/phpbb/showtopic.php

https://blog.wordpress-catalog.com/

https://cyberwise.biz/register/register.php

https://cyclingtools.ru/phpbb/showtopic.php

https://kitchentools.ru/phpbb/showtopic.php

https://verified-deal.com/register/register.php

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: