出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

简介: 本文讲的是出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了,Neutrino与其他恶意软件研发者一样,都希望他们所研发的恶意软件能够长期地被黑客利用并占据一定的市场份额,所以Neutrino不断出现新的变体就不足为奇了。
本文讲的是 出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了Neutrino与其他恶意软件研发者一样,都希望他们所研发的恶意软件能够长期地被黑客利用并占据一定的市场份额,所以Neutrino不断出现新的变体就不足为奇了。其中比较知名的是Zeus,卡巴斯基实验室将其检测为Trojan-Spy.Win32.Zbot,每年都会产生新的变异。另外像Mirai,NJRat,Andromeda等恶意软件家族也都发展的比较迅猛。

在本文中,专家们会分析一种非常特殊的Neutrino变异体,一种可以从POS机终端收集信用卡信息的变体。

卡巴斯基实验室其检测为Trojan-Banker.Win32.NeutrinoPOS

描述文件的MD5:0CF70BCCFFD1D2B2C9D000DE496D34A1

攻击前的准备阶段

该变体在开始之前会经过一段长时间的“睡眠”隐蔽状态,因为这样能绕过许多安全产品的沙箱检测。为了确定延迟时间,该变体会使用伪随机数生成器(pseudorandom number generator)。

C&C通信

在这个阶段,该变体会从其后台中提取了C&C地址列表。该列表是Base64编码,解码后,该变体会尝试使用以下算法找到一个工作的C&C:

1.将POST请求发送到服务器,通过其base64字符串“enter”(ZW50ZXI =)中的自身编码。所有编码的字符串都包含前缀“_wv =”

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

2.工作服务器响应404页面,其中包含最后编码字符串c3VjY2Vzcw ==(success)。在“成功”的情况下,rTojan会将已使用的服务器的地址标记为正常工作状态。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

你还应该注意到,在每个POST请求的标题中都有“auth”字段,对于NeutrinoPOS的每个样本,它们保持不变。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

恢复C&C服务器检查的代码

存储在注册表处的C&C地址HKCR  Sofrware  alFSVWJB与NeutrinoPOS样本使用的其他变量和数据相同。变体名称与这里描述的不同,但是在两个样本完全比较之后,专家可以判定两个样品都是对Neutrino的修改。

C&C命令

以上描述的变体功能如下:

1.下载并启动文件;
2. 屏幕截图;
3.按名称搜索运行过程;
4.变更寄存器下分支的指令;
5.在感染的主机上按名称搜索文件,并将其发送到C&C;
6.代理

服务器以简单的方式发送命令,如“PROXY”,“screenshot”等,以base64编码。经过分析,在当前版本的Neutrino中,没有DDoS攻击的功能。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

命令控制和计算的补充

几个命令的例子(在上面的截图上用红色标记):

Rolxor(“PROXY”)= 0xA53EC5C
Rolxor(“screenshot”)= 0xD9FA0E3

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

NeutrinoPOS命令处理程序

窃取信用卡

窃取信用卡信息的算法在木马中实现很简单,具体描述如下:

1.木马开始使用当前运行的进程,使用CreateToolhelp32Snapshot  Process32FirstW  Process32NextW。

2.使用OpenProcess  VirtualQuery  ReadProcessMemory,该木马获取有关进程的内存页面的信息。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

3.木马扫描内存页面的字符串“Track1”,它标记磁卡的第一个磁道的字段。所有描述的领域一个接一个:

3.1 “0”到“9”范围内的符号序列,长度等于15,16或19.使用Luhn算法进行序列检查。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

3.2 在下一个和前一个字段中检查分离符号'^'的存在。

3.3 提取持卡人名称,最大长度,基于ISO / IEC 7813,等于26符号:

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

3.3 休息数据(Rest data)(CVC32,有效期,CVV)作为整个代码块被提取,并检查长度和内容:

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

4.收集的数据发送到具有标记“Track1”的服务器。

5.这时,木马就开始提取带有标记“Track2”的下一个字段:

5.1首先,它提取PAN与前一个阶段相同的检查。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

5.2 作为使用“'”或“D”的分离符号

5.3 Track2不包含持卡人名称,因为休息数据作为整个代码块被提取

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

6.收集的数据发送到服务器,标有“Track2”

对POS机终端的感染统计

最大的感染区域是俄罗斯和哈萨克斯坦,其中受感染的电脑中近10%属于小企业客户。

出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了

总结

从描述的Neutrino的变异版本可以看出,尽管Neutrino属于一个已经古老的恶意软件家族,但它仍然以非典型功能或应用的形式出现在黑客的手中。例如,我们可以看到它使用了与 Mirai技术分叉(fork)相同的技术。

一般来说,所有具有良好架构和各种功能的恶意软件源代码一旦被公布,就将引起恶意软件开发者的极大兴趣和关注,他们将尝试将其用于几乎所有可能的非法获利方式。我们可以假设,现在可能已经有人利用Neutrino来进行加密货币的挖掘,只是我们还尚未发现具体案例而已。

MD5

CECBED938B10A6EEEA21EAF390C149C1

66DFBA01AE6E3AFE914F649E908E9457

4DB70AE71452647E87380786E065F31E

9D70C5CDEDA945CE0F21E76363FE13C5

B682DA77708EE148B914AAEC6F5868E1

5AA0ADBD3D2B98700B51FAFA6DBB43FD

A03BA88F5D70092BE64C8787E7BC47DE

D18ACF99F965D6955E2236645B32C491

3B6211E898B753805581BB41FB483C48

7D28D392BED02F17094929F8EE84234A

C2814C3A0ACB1D87321F9ECFCC54E18C

74404316D9BAB5FF2D3E87CA97DB5F0C

7C6FF28E0C882286FBBC40F27B6AD248

729C89CB125DF6B13FA2666296D11B5A

855D3324F26BE1E3E3F791C29FB06085

2344098C7FA4F859BE1426CE2AD7AE8E

C330C636DE75832B4EC78068BCF0B126

CCBDB9F4561F9565F049E43BEF3E422F

53C557A8BAC43F47F0DEE30FFFE88673

C&C

hxxp://pranavida.cl/director/tasks.php

hxxps://5.101.4.41/panel/tasks.php

hxxps://5.101.4.41/updatepanel/tasks.php

hxxp://jkentnew.5gbfree.com/p/tasks.php

hxxp://124.217.247.72/tasks.php

hxxp://combee84.com/js/css/tasks.php

hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php

hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php

hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php

hxxp://ns1.posnxqmp.ru/PANEL/tasks.php

hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php




原文发布时间为:2017年6月30日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 数据安全/隐私保护
电话也能越狱,由Securus服务器被黑客入侵而引发的电话追踪事件
为警方提供实时追踪电话的Securus公司现遭到了黑客攻击,根据黑客向Motherboard的爆料,他们至少盗窃了包含有2800个登录名和弱加密密码的用户信息名单。其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实,他们还对一些登录名进行了登录测试。
1428 0
|
索引
<scapy>刺探星巴克无线网,记录顾客信息
上网除了需要IP, 还需要Mac地址, Mac与网卡绑定, 记录了设备的Mac, 相当于标记了设备使用者 关于Mac和IP的关系: 为什么IP地址与Mac地址缺一不可? 星巴克无线网 初级玩法: 哪个时段顾客人数最多? 今天放假,...
1121 0
|
安全 数据安全/隐私保护
快卸载美图秀秀,它会收集并出售你的个人信息
本文讲的是快卸载美图秀秀,它会收集并出售你的个人信息,也许你一直在追求自然美,所以不知美图为何物。但相信大多数的女孩都知道中国有一个美图公司,也用过美图的产品,万万没想到的是,美图竟然不仅仅专注于美化图片,它还会默默窃取你的个人信息。
1663 0
|
安全 Android开发
手机银行木马Faketoken又更新,利用屏幕重叠窃取银行信息
本文讲的是手机银行木马Faketoken又更新,利用屏幕重叠窃取银行信息,近日,卡巴斯基实验室的安全研究人员发现了一个名为Faketoken的Android银行木马的新版本,它可以检测并记录受感染设备,并在诸如出租车预订程序上覆盖真实界面以窃取银行信息。
1669 0