FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客

今日企業總是以能夠快速因應外在環境變化而自豪,不幸的是,網路犯罪集團何嘗不是如此。最近出現了一個專門攻擊個專門攻擊銷售櫃台系統 (PoS) 的新惡意程式家族,此惡意程式家族的特點是竊取到資料之後會馬上回傳給遠端的駭客。趨勢科技根據這項特性,將它命名為 FastPOS。

FastPOS 的設計是會立即將竊取到的信用卡資料外傳,而非先儲存在本機上的一個檔案,然後再定期傳送給駭客。這表示它或許是專門針對小型網路環境而設計,例如只有一台 DSL 數據機連接一台 POS 系統的環境。

攻擊管道和目標

FastPOS (趨勢科技的偵測名稱為: TSPY_FASTPOS.SMZTDA)  可經由三種管道進入其攻擊目標:

  • 指向某個已遭駭客入侵網站的連結 (該網站專門討論外科雷射技巧)
  • 即時檔案分享服務
  • 透過 VNC 直接傳輸檔案

前兩種方法還需透過社交工程social engineering技巧來誘騙使用者執行惡意程式,最後一種方法則需要經由某種管道取得公司的登入帳號密碼,或者透過暴力破解的方式取得目標使用者的帳號密碼。

這項威脅的受害者分布非常廣:我們在全球各地都有發現受害者。主要分布於下列地區:

  • 美洲:巴西和美國
  • 亞洲:香港、日本、台灣
  • 歐洲:法國
圖 1:FastPOS 受害者分布的國家和產業。
圖 1:FastPOS 受害者分布的國家和產業。

此外,其產業分布也很廣。美國的受害機構還包括獸醫診所,其他地區的受害機構則包括食品業和物流業;另有某些案例的受害機構為開放 VNC 連線的遠端辦公室。

資訊竊盜

FastPOS 會將偷取到的資訊「立即」傳送給遠端駭客,而非先儲存在本機,等到固定時間再上傳。雖然這可能造成一些不正常的網路流量,但由於今日的裝置隨時都連上網路,因此這樣的流量相對上很容易隱藏。其竊取的資訊方式有兩種:鍵盤側錄和記憶體擷取。

側錄鍵盤的手法與 NewPOSThings 的手法類似,側錄到的按鍵並不會儲存在本機電腦的檔案上,而是儲存在記憶體內,一旦使用者按下 Enter 鍵之後,側錄到的整串按鍵就會傳送給遠端的駭客。視受害的企業流程而定,駭客所偷到的資料可能包括使用者的帳號密碼、客戶或員工的個人身分識別資料 (PII)、甚至是付款資訊等等。駭客為了分辨側錄到的內容為何,其程式在側錄時也會截取輸入畫面視窗的標題,並包含在傳送的資料當中。

記憶體擷取程式部分,則是僅用來竊取信用卡資料,為了確保擷取到的是有效的信用卡號碼,程式甚至會執行一連串的檢查。

其中一項記憶體擷取程式不常見的功能就是,它會檢查信用卡條碼的服務代碼。服務代碼為 101 或 201 的卡片都可通行全球,唯一的差別在於,當服務代碼為 201 時,店家在刷卡時必須優先使用卡 EMV 片上較新的晶片來刷卡 (可以的話)。除此之外,歹徒還會過濾掉一些交易時必須輸入 PIN 碼的卡片。

資料外傳

如同我們前面所說,FastPOS 不會在本機儲存任何資訊或狀態,所有竊取到的資訊都是直接立即上傳至幕後操縱 (C&C) 伺服器,而伺服器的位址則直接寫死在惡意程式內部,不論鍵盤側錄程式或記憶體擷取程式都是如此。

不過,其上傳資訊的方法倒是有些獨特之處,資料在傳輸時會以參數的形式傳送至 C&C 伺服器所在的網址,如下所示:

圖 2:C&C 伺服器通訊網址範例。
圖 2:C&C 伺服器通訊網址範例。

 

上圖範例所傳送的是記憶體擷取程式所竊取到的資料。有兩種資料外傳指令:

key&log=TWND%sKWND%s傳送側錄到的按鍵資料。第一個字串是視窗的標題,第二個字串是側錄到的按鍵。
add&log=%s&foundin=%s傳送記憶體擷取程式所偷到的資料。第一個字串是卡片磁條資料,第二個是執行程序名稱。

表 1:資料外傳指令。

此外,記錄檔和系統資訊則是透過下列指令傳送:

new&username=%s&computername=%s&os=%s&architecture=%s註冊一台新感染的電腦,包括:使用者名稱、電腦名稱、作業系統與硬體架構。
statuslog&log=scanning-%s代表正在掃瞄是否有含有信用卡資料的執行程序。
update&username=%s軟體需要更新時所發出的指令。
statuslog&log=CheckedForUpdate軟體更新要求之後所發出的指令。
statuslog=&log=GetLastError%d在遇到錯誤時回報的錯誤碼。

表 2:其他指令。

不太尋常的一點是,駭客使用的是 HTTP GET 指令,因為 GET 指令通常是用來讀取檔案, 而POST 指令才是用來將資訊傳送給伺服器,但這個惡意程式卻反其道而行,且其 C&C 伺服器回覆的是標準的 HTTP 200 回應。一個可能是,駭客刻意使用 GET 指令來避免引起懷疑,畢竟這是瀏覽器在接收網頁時所用的指令。

另一點值得注意的是,駭客並未使用 HTTPS 連線,這意味著受害者的資料都是以「明碼」的方式傳送,並未經過任何加密,換句話說,資料很可能被「其他」可攔截網路流量的駭客輕鬆擷取,而受害者等於被駭了兩次。

FastPOS 的作者和使用者

遇到像 FastPOS 這樣的威脅,我們通常都希望知道其作者是誰,以及網路上有誰在使用這個惡意程式,雖然我們並無明確的答案,但卻已掌握了一些有趣的線索。

我們在 2015 年的一篇網路貼文當中看到使用者張貼的惡意程式範例碼與 FastPOS 樣本使用了同名的 mutex:

求救:mutex 的用法。
圖3:求救:mutex 的用法。

 

這是巧合嗎?或許,但請特別注意以下程式碼當中側錄按鍵資料傳送指令所用的字串,也就是「KWND」和「TWND」,這兩個字串也出現在前述使用者的其他貼文當中。

圖 4:求救:非重複字串。
圖 4:求救:非重複字串。

那麼,到底是誰在使用這程式?或許下列廣告可以提供一點線索:

圖 5:廣告。
圖 5:廣告。

 

這是一個販售信用卡資料的網站廣告。詭異的是,該網站的 IP 位址與 FastPOS 的 C&C 伺服器位址相同,簡而言之,FastPOS 幕後的駭客正利用他們接收竊取資料的伺服器來販售這些偷來的資料。

我們的技術簡報對此威脅有更進一步的分析,包括其發展時間表、進一步技術細節以及駭客所販售的信用卡資料清單。

結論

FastPOS 的設計顯然有別於其他的 POS 惡意程式家族。很明顯地,它不是針對大型企業網路環境,而是針對更單純的作業環境而設計,例如只有一台 DSL 數據機直接連接 POS 系統的店家,在這樣的環境,目標電腦很可能只能仰賴端點防護的偵測能力,缺乏網路層次的偵測技術。

儘管如此,受害目標還是可以採用 端點應用程式控管 或是白名單技術來確保只有白名單上的應用程式可以安裝更新,進而降低遭到攻擊的風險。此外,一些進階的端點防護解決方案,如:趨勢科技PC-cillin雲端版趨勢科技Smart Protection Suites,以及Worry-Free Pro,都能協助使用者對抗這類 POS 威脅。

原文出處: FastPOS: Quick and Easy Credit Card Theft