和其他 PoS惡意軟體最大的不同是竊取的資料並不寫入磁碟或儲存在臨時轉儲伺服器,而是只要在中毒終端機上按下「輸入」鍵就會馬上傳送給犯罪份子
2016年到現在為止,焦點都集中在勒索病毒 Ransomware (勒索軟體/綁架病毒),你可能會誤以為網路犯罪世界中沒有發生其他的事情了。不過先別下結論,儘管犯罪分子對勒索病毒的興趣、創新和投資都大大的增加,不過只要有利可圖,其他形式的網路犯罪也不會被漏掉。
端點銷售系統病毒被設計來從銷售終端機來竊取信用卡資料(跟其它資訊),同時在不停演化和擴散著。
只要網路中有一個中毒的終端機,就很難清理乾淨
趨勢科技的研究人員在今年二月指出FighterPOS的演變,這隻端點銷售病毒在2015年四月首次出現於巴西。現在兩個「改良」過的版本 – Floki Intruder和TSPY_POSFIGHT.F帶來更多功能也擴展了受害者的範圍。最令人擔憂的新功能是內建在Floki Intruder的蠕蟲功能,讓它可以列出本機磁碟並複製自己的副本進去,並且還會利用WMI工具來加入autrun.inf。這代表新的FighterPOS病毒能夠透過網路散播,並且可以輕易地感染所有可找到的PoS終端機,這當然也代表只要網路中有一個中毒的終端機,就很難清理乾淨。
除此之外,新版本也會停用預設的Windows防火牆和安全功能以及使用者帳戶控制(UAC)來確保自己控制該電腦。不管是誰在開發這個新版本,看來它要打破只將巴西當作主戰場的歷史紀錄,因為FighterPOS也開始將目標放在美國的受害者。 TSPY_POSFIGHT.F看起來和Floki Intruder和FighterPOS來自相同的程式庫,只是較輕量版。
只要在中毒終端機上按下「輸入」鍵就會馬上傳送給犯罪份子
在今年六月可以看到我們對FastPOS率先做的分析,會這樣命名是因為它是種「打帶跑」的PoS惡意軟體。FighterPOS同時具備了鍵盤側錄和記憶體擷取功能來取得敏感資料和卡片資訊。和其他PoS惡意軟體最大的不同是竊取的資料並不寫入磁碟或儲存在臨時轉儲伺服器,而是只要在中毒終端機上按下「輸入」鍵就會馬上傳送給犯罪份子。它利用HTTP GET指令來進行傳輸,可能是想將自己隱藏在受害網路的正常瀏覽流量中,就算想特別去尋找也很難發現。
FighterPOS只偷能夠跨國使用並且不強制使用晶片的卡片
FighterPOS另一個不尋常的地方是它驗證竊取信用卡或金融簽帳卡目標的方式。在卡片中有部分資料稱作服務代碼,雖然卡片擁有者看不見卻可以由PoS終端機處理,它會決定卡片可以在哪裡使用跟如何使用,例如是否可以跨國使用,是否可以提領現金或是否需要密碼。FighterPOS會查詢服務代碼資料,確保只偷能夠跨國使用並且不強制使用晶片(如果存在)的卡片資料。
FighterPOS似乎設計給並不大的網路,也許目標是小型企業或一般店家,通常網路只使用簡單的數據機及非常小的區域網絡。
在這兩種情況都可以使用多種保護技術,端點應用程式控制或許最合適於端點銷售系統環境。應用程式控制使用白名單技術,只讓允許的應用程式在系統上運行,並且會阻止惡意軟體的安裝或執行。如果你的PoS終端系統位在更大的網路環境,那麼基於網路的入侵外洩偵測和沙箱技術也是適當可行的技術。
@原文出處:PoS Malware: Old Dog Learns New Tricks 作者:Rik Ferguson(安全研究副總)
⊙延伸閱讀:
RawPOS 惡意程式跟你一起在飯店 Check in