最近两年,POS恶意软件由于塔吉特、家得宝、Kmart遭遇的pos机攻击而被广泛关注。随着“黑色星期五”购物季的到来,PoS机恶意软件必定会受到关注。
PoS攻击者们不会仅仅依赖他们自己的恶意软件进行攻击、窃取受害者数据。他们还会用上大量其他的工具达到目的。有些是系统管理员也会用的如putty,还有些是微软提供的Sysinternals Suite工具包中的软件。
通过黑客们使用的这些工具我们可以更加了解他们的情况。
大多数PoS终端机都不安全
不幸的是,PoS终端和PoS环境基本都是不安全的。这给攻击者提供了极好的机会。黑客攻击PoS终端的方式多种多样,其中一种是通过VNC(Virtual Network Computing,虚拟网络计算)。
一般来说,PoS机要么无需用户名密码,要么使用弱口令。这给黑客们提供了极好的机会。
微软的远程桌面协议(RDP)也是PoS环境中的容易被黑客利用的工具。与VNC一样,RDP配置基本是无需密码或者是弱口令。
BackOff 工具包
今年年初,趋势科技发布了一篇报告详细说明各种针对PoS的恶意软件,其中就包括了著名的BackOff。2014年7月,BackOff开始流行起来并被广泛使用,主要是因为它能够自定义打包以混淆代码,使得研究人员难以逆向其代码。
BackOff会一直与命令与控制服务器(command-and-control, C&C)以传输获得的数据或者接收配置更新。除此之外,这些服务器会被用来与被入侵的设备传输工具软件。当攻击者要攻击多个设备时,他们会用这些服务器将恶意软件传输到PoS,以减少工作量。
在研究BackOff的过程中,一份特别的样本引起了我们的注意 – r0.exe。我们发现这个样本连接到了http://143biz.cc.md-14.webhostbox.net。这个C&C服务器包含了大量的信息,包括攻击者使用的工具,他们如何存储数据等。我们注意到攻击者在入侵PoS机后,会使用一连串的工具。
服务器中有多个文件,我们会在下文中列举说明。这不是服务器文件的完整列表,但足以说明一些情况。
r0.exe (MD5校验值: 7a5580ddf2eb2fc4f4a0ea28c40f0da9):
一份BackOff样本,编译于2014年10月22日。程序连接以下2个C&C服务器:
https://cyberwise.biz/register/register.php
https://verified-deal.com/register/register.php
r0.exe还会创建互斥体aMD6qt7lWb1N3TNBSe4N。
3-2.exe (MD5校验值: 0fb00a8ad217abe9d92a1faa397842dc):
一份BackOff样本,编译于2014年10月22日,稍早于r0.exe。程序连接以下服务器:
https://kitchentools.ru/phpbb/showtopic.php
https://cyclingtools.ru/phpbb/showtopic.php
https://biketools.ru/phpbb/showtopic.php
DK Brute priv8.rar (MD5校验值: 028c9a1619f96dbfd29ca64199f4acde) :
此压缩包包含多个工具和文件,其中就包括SSH/telnet客户端putty.exe。还有UltraVNCViewerPortable.exe和WinSCP,这些工具都是被用来连接远程系统和传输文件的。
压缩包中还包括DK Brute.exe,这是一款调用字典对Windows RDP和其他远程连接协议进行爆破的工具。
IPCity.rar (MD5校验值: 9223e3472e8ff9ddfa0d0dbad573d530) :
此压缩中包含三份文件,其中包括:GeoLiteCity.csv,用于标记国家。这份文件似乎是之前从Maxmind下载的,Maxmind是一家提供IP与地理经纬度查询数据库的公司。
包内还有一个ip_city.exe。此软件可以用来把国家/城市转换成IP段。
VUBrute 1.0.zip (MD5校验码: 01d12f4f2f0d3019756d83e94e3b564b) :
这是一个密码保护的ZIP文件,压缩内包含一款VNC爆破工具————VUBrute。这款工具在俄罗斯地下论坛十分流行。
logmein_checker.rar (MD5校验值: 5843ae35bdeb4ca577054936c5c3944e) :
压缩包内是Logmein Checker软件. LogMeIn是一款流行的远程接入软件. 软件包含一份用户名/密码列表和一份IP/端口列表,用于探测使用弱口令的LogMeIn。
portscan.rar (MD5校验码: 8b5436ca6e520d6942087bb38e97da65) – 包含KPortScan3.exe,是一款基本的端口扫描器. 软件可以指定IP段和端口号。从C&C服务器上的信息来看,黑客用此工具扫描445, 3389, 5900等端口。黑客选择这款软件很可能是因为其易用性。
C&C服务器分析
通过进一步研究C&C(命令与控制)服务器,我们在http://143biz.cc.md-14.webhostbox.net发现了更多的文件总共有5个不同的恶意病毒样本,最久的样本可以追溯到2014年2月。样本中还包括PoS恶意软件如Alina。
我们还在服务器上发现了一个目录: http://143biz.cc.md-14.webhostbox.net/something/login.php?p=Rome0
访问这个目录时我们没有收到回应,于是我们开始寻找倍的网站中有没有包含字段/something/login.php?p=Rome0的URL。我们的确发现了另外的URL: https://blog.-wordpress-catalog.com/something/login.php?p=Rome0。
观察143.biz.cc.md-14.webhostbox.net与wordpress-catalog.com之间的联系,我们在C&C服务器上发现一个目录: http://143biz.cc.md-14.webhostbox.net/accounts.wordpress-catalog.com. 但访问这些地址均无回应。
但当我们访问根目录是,我们发现了一个叫做something.zip (MD5校验值: f9cbd1c3c48c873f3bff8c957ae280c7)的压缩文件。 这份文件包含的似乎是C&C服务器上的代码,还有些包含用户名和信用卡信息的文本文档。
总结
尽管我们没有在本贴中展示新工具,但研究黑客所使用的工具十分有趣。
我们列举的这些软件并不全,但这至少显示黑客们使用的这些工具并不是非常先进,他们没有重复造轮子,没有开发新工具,仅仅使用这些工具就已经足够了。
我们相信这些信息会对管理员防范PoS攻击很有帮助。
除了上文提到的,以下是我们在调查过程中参考的所有网址:
http://143biz.cc.md-14.webhostbox.net
https://biketools.ru/phpbb/showtopic.php
https://blog.wordpress-catalog.com/
https://cyberwise.biz/register/register.php
https://cyclingtools.ru/phpbb/showtopic.php
https://kitchentools.ru/phpbb/showtopic.php
https://verified-deal.com/register/register.php
