Backoff木馬重創(POS)交易安全
Backoff木馬目前在使用服務式端點銷售系統(POS)的相關行業已掀起一陣騷動,而Backoff木馬入侵POS機的主要目的,就是要在交易時竊取POS刷卡機的信用卡資料。 Trustwave SpiderLab在七月發佈了第一起Backoff木馬的詳細分析。美國特勤局與國土安全部在獲知通報之後,也跟進瞭解相關資訊 雖然很明顯的,在Backoff公開的分析資料中遺漏了重要訊息:命令與控制伺服器 (C & C)。不過您如果有取得相關樣本,將不難發現到在檔案的字串末端有一項與其他輸入輸出控制系統共同運行的完整清單。 Backoff惡意程式在C & C伺服器中的設定畫面 我們使用兩組Backoff樣本透過C&C伺服器與源頭的主機連線。
這些C&C伺服器使用的是在2014年1到3月間建立的樣本。
在過去的幾天當中,我們觀察到來自不同國家的上百名受害者連線到sinkhole(木馬主機)。
分析資料: 在分析資料中,有幾起案例是較需留意的:
  • 全球貨運物流管理公司,總部位於北美。
  • 英國慈善組織為當地志工組織和社區團體提供支援,建議和諮詢。
  • 位於北美的薪資協會。
  • 位於東歐關於資訊技術和通訊連線的國家機構。
  • 位於美國的酒類連鎖供應商。
  • 位於美國阿拉巴馬州的ISP廠商。
  • 位於美國的墨西哥食品供應商。
  • 位於美國加州的辦公大廈暨物業管理公司。
  • 加拿大大型連鎖餐廳。
  • 在美國和加拿大當中也有不少家庭用戶的線路連線到sinkhole。 由此分析我們可以預想到,這應該是因為一般小型企業經常採用的是家用網路,而不是企業專線所產生的結果。 結論: Backoff的成功佈局,重創了服務式端點銷售系統(POS)的交易安全。 我們測試建立的sinkhole占不到整體Backoff服務傳輸的5%,並且此網域僅適用於今年第一季所建立的Backoff樣本。儘管如此我們還是看到有超過85個受害者連線到我們測試用的sinkhole。 目前大多數受害者都位於北美地區,其中有些是具有高知名度的廠商。 考量到狀態的嚴重性,美國特勤局已發佈資安通報呼籲零售業小心防範POS系統可能遭到惡意程式入侵,並指出Backoff惡意程式已經感染超過1000家企業。 由於從Backoff的出現至今並沒有明顯的改變。開發者建立了不同類型的樣本,自由穿梭在POS機的傳輸網路,並且不會影響到原有的交易狀況。由此可知,POS安全防護機制的薄弱和不足,而其他犯罪者一定也注意到這項弱點。 經由這些分析,我們可以瞭解到POS網路為何會成為惡意攻擊的首要目標。主要是因為美國當地零售業尚不支援EMV晶片卡。不同於磁條信用卡,EMV晶片卡本身較不容易被複製,在使用上將更具彈性。但現行美國仍採用簽名,而未搭配PIN碼驗證機制,這也間接否決使用EMV晶片所帶來的附加安全機制。 這真是一個代價昂貴的失誤。因為尚未採用EMV晶片,讓美國零售業成為世界各地中最深受木馬所擾的地區。這項困境可能很難在短時間內獲得改善。 IOCs / C & Cs: 木馬檔案路徑: %APPDATA%\AdobeFlashPlayer\mswinsvc.exe
    %APPDATA%\AdobeFlashPlayer\mswinhost.exe
    %APPDATA%\AdobeFlashPlayer\Local.dat
    %APPDATA%\AdobeFlashPlayer\Log.txt
    %APPDATA%\mskrnl
    %APPDATA%\nsskrnl
    %APPDATA%\winserv.exe
    %APPDATA%\OracleJava\javaw.exe
    %APPDATA%\OracleJava\javaw.exe
    %APPDATA%\OracleJava\Local.dat
    %APPDATA%\OracleJava\Log.txt
    Kaspersky names for the Trojans: HEUR:Trojan.Win32.Invader
    HEUR:Trojan.Win32.Generic
    Backdoor.Win32.Backoff
    Trojan.Win32.Agent.ahhia
    Trojan.Win32.Agent.agvmh
    Trojan.Win32.Agent.aeyfj
    Trojan-Spy.Win32.Recam.qq
    Trojan-Dropper.Win32.Sysn.ajci
    Trojan.Win32.Bublik.covz
    Trojan-Dropper.Win32.Dapato.dddq
    Trojan.Win32.Agent.agufs
    Trojan.Win32.Agent.ahbhh
    Trojan.Win32.Agent.agigp
    Trojan.Win32.Agent.aeqsu
    Trojan.Win32.Agent.ahgxs
    Trojan.Win32.Inject.mhjl
    Trojan.Win32.Agent.ahbhh
    Trojan.Win32.Agent.ahhee
    Trojan.Win32.Agent.ahgxs
    MD5s:
    684e03daaffa02ffecd6c7747ffa030e
    3ff0f444ef4196f2a47a16eeec506e93
    12c9c0bc18fdf98189457a9d112eebfc
    14cca3ad6365cb50751638d35bdb84ec
    d0f3bf7abbe65b91434905b6955203fe
    38e8ed887e725339615b28e60f3271e4
    7b027599ae15512256bb5bc52e58e811
    5cdc9d5998635e2b91c0324465c6018f
    821ac2580843cb0c0f4baff57db8962e
    b08d4847c370f79af006d113b3d8f6cf
    17e1173f6fc7e920405f8dbde8c9ecac
    874cd0b7b22ae1521fd0a7d405d6fa12
    ea0c354f61ba0d88a422721caefad394
    6a0e49c5e332df3af78823ca4a655ae8
    8a019351b0b145ee3abe097922f0d4f6
    337058dca8e6cbcb0bc02a85c823a003
    842e903b955e134ae281d09a467e420a
    d1d544dbf6b3867d758a5e7e7c3554bf
    01f0d20a1a32e535b950428f5b5d6e72
    fc041bda43a3067a0836dca2e6093c25
    4956cf9ddd905ac3258f9605cf85332b
    f5b4786c28ccf43e569cb21a6122a97e
    cc640ad87befba89b440edca9ae5d235
    0b464c9bebd10f02575b9d9d3a771db3
    d0c74483f20c608a0a89c5ba05c2197f
    b1661862db623e05a2694c483dce6e91
    ffe53fb9280bf3a8ceb366997488486e
    c0d0b7ffaec38de642bf6ff6971f4f9e
    05f2c7675ff5cda1bee6a168bdbecac0
    9ee4c29c95ed435644e6273b1ae3da58
    0607ce9793eea0a42819957528d92b02
    97fa64dfaa27d4b236e4a76417ab51c1
    82d811a8a76df0cda3f34fdcd0e26e27
    0b7732129b46ed15ff73f72886946220
    30c5592a133137a84f61898993e513db
    aa68ecf6f097ffb01c981f09a21aef32
    bbe534abcc0a907f3c18cfe207a5dfca
    29e0259b4ea971c72fd7fcad54a0f8d0
    C & C 網域和主機名稱: 00000000000.888[.]ru
    10000000000.888[.]ru
    adobephotoshop11111[.]com
    adobephotoshop22222[.]com
    domain12827312[.]com
    helloflashplayers12345[.]com
    hellojavaplayers12345[.]com
    ilovereservdom213ada2[.]ru
    iownacarservice[.]ru
    iownacarservice1[.]com
    msframework1[.]com
    msframework1[.]ru
    msframeworkx64[.]com
    msframeworkx86[.]com
    msframeworkx86[.]ru
    msoffice365net[.]com
    nullllllllllll[.]com
    ollygo030233[.]com
    ollygo030233[.]ru
    pop3smtp5imap2[.]com
    pop3smtp5imap3[.]com
    pop3smtp5imap4[.]ru
    reservedomain12312[.]ru
    total-updates[.]com
    C & C IPs: 146.185.233.32
    81.4.111.176
    95.211.228.249
    217.174.105.86
    資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:https://securelist.com/blog/research/66305/sinkholing-the-backoff-pos-trojan securelist 主題:Backoff木馬重創(POS)交易安全 發文時間:2014/08/29