揭秘:针对PoS机的恶意软件工具箱

揭秘:针对PoS机的恶意软件工具箱

黑客软件访客2021-10-12 0:40:008215A+A-

  最近两年,PoS恶意软件由于塔吉特、家得宝、Kmart遭遇的POS机攻击而被广泛关注。随着“黑色星期五”购物季的到来,PoS机恶意软件必定会受到关注。

  PoS攻击者们不会仅仅依赖他们自己的恶意软件进行攻击、窃取受害者数据。他们还会用上大量其他的工具达到目的。有些是系统管理员也会用的如putty,还有些是微软提供的Sysinternals Suite工具包中的软件。

  通过黑客们使用的这些工具我们可以更加了解他们的情况。

  大多数PoS终端机都不安全

  不幸的是,PoS终端和PoS环境基本都是不安全的。这给攻击者提供了极好的机会。黑客攻击PoS终端的方式多种多样,其中一种是通过VNC(Virtual Network Computing,虚拟网络计算)。

  一般来说,PoS机要么无需用户名密码,要么使用弱口令。这给黑客们提供了极好的机会。

  微软的远程桌面协议(RDP)也是PoS环境中的容易被黑客利用的工具。与VNC一样,RDP配置基本是无需密码或者是弱口令。

  BackOff 工具包

  今年年初,趋势科技发布了一篇报告详细说明各种针对PoS的恶意软件,其中就包括了著名的BackOff。2014年7月,BackOff开始流行起来并被广泛使用,主要是因为它能够自定义打包以混淆代码,使得研究人员难以逆向其代码。

  BackOff会一直与命令与控制服务器(command-and-control, C&C)以传输获得的数据或者接收配置更新。除此之外,这些服务器会被用来与被入侵的设备传输工具软件。当攻击者要攻击多个设备时,他们会用这些服务器将恶意软件传输到PoS,以减少工作量。

  在研究BackOff的过程中,一份特别的样本引起了我们的注意 – r0.exe。我们发现这个样本连接到了http://143biz.cc.md-14.webhostbox.net。这个C&C服务器包含了大量的信息,包括攻击者使用的工具,他们如何存储数据等。我们注意到攻击者在入侵PoS机后,会使用一连串的工具。

  服务器中有多个文件,我们会在下文中列举说明。这不是服务器文件的完整列表,但足以说明一些情况。

  r0.exe (MD5校验值: 7a5580ddf2eb2fc4f4a0ea28c40f0da9):

  一份BackOff样本,编译于2014年10月22日。程序连接以下2个C&C服务器:

  https://cyberwise.biz/register/register.php

  https://verified-deal.com/register/register.php

  r0.exe还会创建互斥体aMD6qt7lWb1N3TNBSe4N。

  3-2.exe (MD5校验值: 0fb00a8ad217abe9d92a1faa397842dc):

  一份BackOff样本,编译于2014年10月22日,稍早于r0.exe。程序连接以下服务器:

  https://kitchentools.ru/phpbb/showtopic.php

  https://cyclingtools.ru/phpbb/showtopic.php

  https://biketools.ru/phpbb/showtopic.php

  DK Brute priv8.rar (MD5校验值: 028c9a1619f96dbfd29ca64199f4acde) :

  此压缩包包含多个工具和文件,其中就包括SSH/telnet客户端putty.exe。还有UltraVNCViewerPortable.exe和WinSCP,这些工具都是被用来连接远程系统和传输文件的。

  压缩包中还包括DK Brute.exe,这是一款调用字典对Windows RDP和其他远程连接协议进行爆破的工具。

  IPCity.rar (MD5校验值: 9223e3472e8ff9ddfa0d0dbad573d530) :

  此压缩中包含三份文件,其中包括:GeoLiteCity.csv,用于标记国家。这份文件似乎是之前从Maxmind下载的,Maxmind是一家提供IP与地理经纬度查询数据库的公司。

  包内还有一个ip_city.exe。此软件可以用来把国家/城市转换成IP段。

  VUBrute 1.0.zip (MD5校验码: 01d12f4f2f0d3019756d83e94e3b564b) :

  这是一个密码保护的ZIP文件,压缩内包含一款VNC爆破工具————VUBrute。这款工具在俄罗斯地下论坛十分流行。

  logmein_checker.rar (MD5校验值: 5843ae35bdeb4ca577054936c5c3944e) :

  压缩包内是Logmein Checker软件. LogMeIn是一款流行的远程接入软件. 软件包含一份用户名/密码列表和一份IP/端口列表,用于探测使用弱口令的LogMeIn。

  portscan.rar (MD5校验码: 8b5436ca6e520d6942087bb38e97da65) – 包含KPortScan3.exe,是一款基本的端口扫描器. 软件可以指定IP段和端口号。从C&C服务器上的信息来看,黑客用此工具扫描445, 3389, 5900等端口。黑客选择这款软件很可能是因为其易用性。

  C&C服务器分析

  通过进一步研究C&C(命令与控制)服务器,我们在http://143biz.cc.md-14.webhostbox.net发现了更多的文件总共有5个不同的恶意病毒样本,最久的样本可以追溯到2014年2月。样本中还包括PoS恶意软件如Alina。

  我们还在服务器上发现了一个目录: http://143biz.cc.md-14.webhostbox.net/something/login.php?p=Rome0

  访问这个目录时我们没有收到回应,于是我们开始寻找倍的网站中有没有包含字段/something/login.php?p=Rome0的URL。我们的确发现了另外的URL: https://blog.-wordpress-catalog.com/something/login.php?p=Rome0。

  观察143.biz.cc.md-14.webhostbox.net与wordpress-catalog.com之间的联系,我们在C&C服务器上发现一个目录: http://143biz.cc.md-14.webhostbox.net/accounts.wordpress-catalog.com. 但访问这些地址均无回应。

  但当我们访问根目录是,我们发现了一个叫做something.zip (MD5校验值: f9cbd1c3c48c873f3bff8c957ae280c7)的压缩文件。 这份文件包含的似乎是C&C服务器上的代码,还有些包含用户名和信用卡信息的文本文档。

  总结

  尽管我们没有在本贴中展示新工具,但研究黑客所使用的工具十分有趣。

  我们列举的这些软件并不全,但这至少显示黑客们使用的这些工具并不是非常先进,他们没有重复造轮子,没有开发新工具,仅仅使用这些工具就已经足够了。

  我们相信这些信息会对管理员防范PoS攻击很有帮助。

  除了上文提到的,以下是我们在调查过程中参考的所有网址:

  http://143biz.cc.md-14.webhostbox.net

  https://biketools.ru/phpbb/showtopic.php

  https://blog.wordpress-catalog.com/

  https://cyberwise.biz/register/register.php

  https://cyclingtools.ru/phpbb/showtopic.php

  https://kitchentools.ru/phpbb/showtopic.php

  https://verified-deal.com/register/register.php

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 俗野清淮2022-06-03 02:37:05
  • C&C服务器上的代码,还有些包含用户名和信用卡信息的文本文档。  总结  尽管我们没有在本贴中展示新工具,但研究黑客所使用的工具十分有趣。  我们列举的这些软件并不全,但这至少显示黑客们使用
  • 忿咬未几2022-06-02 17:26:24
  • /biketools.ru/phpbb/showtopic.php  https://blog.wordpress-catalog.com/  https://cyberwise.biz/register/r
  • 闹旅戏侃2022-06-02 22:35:28
  • 提供了极好的机会。黑客攻击PoS终端的方式多种多样,其中一种是通过VNC(Virtual Network Computing,虚拟网络计算)。  一般来说,PoS机要么无需用
  • 惑心忿咬2022-06-03 02:36:23
  • u/phpbb/showtopic.php  https://biketools.ru/phpbb/showtopic.php  DK Brute priv8.rar (MD5校验值: 028c9a1619f96dbfd29ca64199f4acde) :  此
  • 余安昭浅2022-06-02 22:14:03
  • dpress-catalog.com. 但访问这些地址均无回应。  但当我们访问根目录是,我们发现了一个叫做something.zip (MD5校验值: f9cbd1c3c48c873f3bff8

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理