低成本pos机Hacking

admin
admin
admin
0
文章
0
评论
2023-12-08 16:08:34 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

http://p8.qhimg.com/t017a22d121f0e4f95c.jpg

黑掉(POS)系统是一个非常流行的话题。在野外,可以发现很多的POS恶意软件(jackpos,gamapos,backoff,fighterpos……)。每一次POS系统被攻破,媒体都会谈论到复杂的攻击中用到的高级的并且十分杰出的工具。但有时,这些工具可以轻松的黑掉POS机,并且不需要什么特殊的技能就能很容易窃取敏感信息,例如信用卡号码。

在我们的调查中,我们发现一个关于“低成本POS入侵“非常有趣的案例。本文试图向读者揭秘入侵过程。

一切都始于一个在野外发现的Win32 ardamax样本。ardamax是一个经典的示例,它是一个在互联网上提供的商业软件。

分析这种样本后,发现,该恶意软件利用一个位于德国的FTP服务器上传数据(server4you)。这个FTP很容易被访问(登录名和密码嵌入在样本),并且包含受害者的上传数据。

这个FTP似乎在2014十月九日被使用。服务器全是样本,工具以及接收的数据。

我们不能公开原始样本,因为server4you还没有关闭服务器。

http://p8.qhimg.com/t01fe6de35d299cc571.png

这个库包含了原始的Win32。ardamax样品,恶意软件(darkomet,Andromeda,Gorynych……),还有一些获取信用卡号码的记录和网站爬虫扫描的结果。

在同一个库里,我们找到了截图,话筒录音,摄像头拍摄的照片以及击所记录的每一个受感染的计算机。

http://p2.qhimg.com/t018bcec39fff6de24e.png

骗子已经获得了15个POS电脑的权限以及一些SCADA系统。

http://p6.qhimg.com/t01a4054576b5efffca.jpg

比利时的 SCADA系统

http://p8.qhimg.com/t0117cfed9e8ca16d51.jpg

Cinema PoS

http://p0.qhimg.com/t01dc2ba53732974a6d.jpg

POS

http://p0.qhimg.com/t01917783a6d3e9d34e.jpg

POS

http://p8.qhimg.com/t01f9c53a1444ecab63.png

POS

https://p2.ssl.qhimg.com/t010381654cfdd703e9.png

Brazilian gas pump

我们在收集证书和清理公司电脑上花了很多时间,但每天都会有源源不断的新增的感染的POS的数据上传到FTP资源库。

骗子是如何不断寻找新的感染目标的?

在一些截图上传的数据中,一些截图引起了我们的注意:有人在对大范围的IP地址使用VNC的强力工具。

http://p0.qhimg.com/t01db8d27a7756bda22.jpg

骗子使用了该工具可以从一个文件上传到VirusTotal网站检索:

https://www.virustotal.com/fr/file/b6c3445386f053c1cca711c8389ac8b12d05aad46bbfec02d721428442cd2ed5/analysis/1442602500/

似乎他们是利用被感染的电脑,通过弱口令蛮力逼迫VNC服务器。当一个新的VNC连接被建立,一个新的有效载荷是通过常规的浏览器下载并安装在新感染的机上。没有exploit或者使用先进的技术。

http://p0.qhimg.com/t01588e768ca1754596.jpg

Gorynych installation

一旦形成有效的下载,任何安装的杀毒软件将配置为忽略它或甚至完全卸载。这就需要计算机的管理权限,但在pos系统中,显然这是一个相当普遍的情况。

http://p6.qhimg.com/t0129687ec1e6aeba89.png

现如今,Gorynych 才刚开始传播:https://www.virustotal.com/fr/file/406c30d40f3837615e3b393edc1d6667213c3d287ec006be6198d68124041d43/analysis/ Gorynych

最重要的是,骗子利用已经感染的计算机来管理Gorynych面板:

http://p0.qhimg.com/t01f7ffc465d1b90eb3.jpg

http://p8.qhimg.com/t0133a2ae04b2d3ae93.jpg

在几天之后,我们复现了整个偷窃过程。骗子感染POS以及使用的主流的寄存器scrapper,像searchforcc这样的用于窃取信用卡号码的工具。

正如我们所看到的,不需要复杂的攻击或过程来感染系统。只需要多一点的时间,骗子就会更大范围的感染系统。利用一份短列表其中包含152个弱密码,攻击者可以控制很多点的POS系统。在这种情况下,骗子可以访问年销售额500000000美元的中小企业的公司。

这种活动是不会那么容易进行的,在如下这些情况中:

POS的电脑并没有直接连接互联网;

使用安全性强的VNC密码;

管理员帐户不用于连接敏感系统。

这种疏忽可能会浪费很多的金钱,这对于被入侵的公司来说实在不是一个很好的消息。

附录

在FTP站点找到的有效载荷:

1edc2a1c19a6deb330f21eb0f70d6161 a.exe
6b5ea21045e2c689f6f00e6979955e29 al.exe
4645b7883d5c8fee6579cc79dee5f683 ares.exe
9d87838b7de92cfa5675a34f11d3e7e1 b1.exe
af13c28f32b47423bfebb98de3a7d193 b2.exe
bf395a47eac637f0b2b765ba91d914c7 b3.exe
af36ed9267379f86fc12cc0cfc43938e bm.exe
57138e9fd20b9b93129ed599062bd379 cn.exe
f8058abb53ae90512b3da787bb25a21e dx.exe
0762764e298c369a2de8afaec5174ed9 fgdump.exe
9e76d363a7f93a2ef22483ce1866e8ee gt.exe
413ba3a4705504e528ce05c095cbc8a5 loader.exe
abd788f868ff4a96b91846dd46c9e701 mircpsy.exe
255daa6722de6ad03545070dfbef3330 mmon.exe
cc074e5542c0daca3d9b261dc642bfaa n.exe
85e5727d23ab417a1d05ce656de358b6 new(1)text.exe
79c8661bd5e69df5bb94032a356adc33 nyf1.exe
f461873a10a4b49197a822db88b707fa PowerGrep4.exe
467dc270f0d0619dbd1dfcc554da5f8b private.exe
10c7cdc821291921a957b94b101524af prv.exe
619e2172359cfff98f3124bdd4d9eeb5 q.exe
7c44933863109c101a52c04544626b7f r.exe
780fe52363ec0745da43fc6776f0be8c Spark.exe
af5aac5ef503c929db12d8e031788321 spy.exe.exe
2976768953979e045c1b5773de29e230 sweet.exe
5f6158cbfc5b2f80ad2ebcbeebfd1562 t2s.exe
30a9088df5a7586ca418cb1600ac8683 x64.exe
ef295b49ac6d6e6a4a43b5af75584830 zip.exe

相关服务器:

posserverupdate.ddns.net
teamviewer.ddns.net
anjing.no-ip.biz
chiproses.net
maculastudios.com
room402.in
193.84.64.159
212.105.175.93
173.214.168.141
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0