趨勢科技發現了一個新的 銷售櫃台系統 (PoS) 惡意程式品種:MajikPOS (趨勢科技命名為:TSPY_MAJIKPOS.A),和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計,但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。
雖然其他的 PoS 惡意程式,如:FastPOS (新版)、Gorynych 及 ModPOS 也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄),但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。
MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名,該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT),可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜,讓傳統的防禦顯得毫無招架之力。
入侵點與攻擊過程
趨勢科技從 Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點,那就是:Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具,不過歹徒還必須猜出受害者的遠端帳號密碼,然後再搭配先前安裝在系統上的 RAT 工具。
駭客先找到系統上安裝有 VNC 軟體或已開啟 RDP 遠端桌面的端點裝置,接著試圖利用一般常見的帳號密碼組合,或者利用暴力破解方式來猜出密碼,讓他們可以進入系統。我們所見到的 MajikPOS 攻擊案例有一個共同點就是它們的感染時間接近。其 RAT 工具安裝在端點上的時間大約介於 2016 年 8 月至 11 月之間。
歹徒一旦進入他們可攻擊的端點裝置,就會透過 VNC、RDP、RAT、FTP 以及某個特殊版本的 Ammyy Admin (一個商用遠端管理軟體) 直接從某個免費的網路儲存空間下載 MajikPOS 惡意程式安裝到系統上。不過歹徒在使用 Ammyy Admin 時只用到其檔案管理功能,這個特殊的版本可能的檔名是:VNC_Server.exe 或 Remote.exe。
組態設定與 C&C 通訊
MajikPOS 會與幕後的 C&C 伺服器連線登記被感染的系統。登記好之後,伺服器就會發送一份「組態設定」給被感染的裝置,裡面含有後續步驟所用到的三項重要資料。
圖 1:C&C 伺服器在登記好裝置之後回傳組態設定資料。
這些 C&C 伺服器的幕後操縱面板就叫做「Magic Panel」,如下圖所示:
圖 2:Magic Panel 登入頁面。
擷取記憶體內容
Conhost.exe 是負責擷取記憶體內容以蒐集受害電腦信用卡資料的元件,它會用到前述的設定檔案。
MajikPOS 可蒐集的信用卡種類繁多,包括:American Express、Diners Club、Discover、Maestro、Mastercard 及 Visa。它在確認過信用卡磁條資料之後,就會利用「HTTP POST, Action=”bin”」指令將資料傳送至 C&C 伺服器。
圖 3:Magic Dump 商店上販賣歹徒偷來的信用卡資料。
專門販賣失竊信用卡資料的網路商店
我們駭入了某台 MajikPOS 的 C&C 伺服器 (umbpan.xyz) 之後發現有更多由同一歹徒所註冊的網站,其中一個是另一個 Magic Panel 網站,其餘的則是「Magic Dump」商店,這些是歹徒專門用來販賣其偷竊之信用卡資料的網站。
這些商店目前大約有 23,400 筆信用卡磁條資料,售價從每筆 9 美元至 39 美元不等,視信用卡而定。商店也提供了大量購買優惠,一次購買 25 筆、50 筆和 100 筆的價格分別為 250 美元、400 美元 和 700 美元。早在 2017 年 2 月時就曾經出現一名叫做「MagicDumps」的使用者在信用卡資料地下論壇上刊登過這些網站的廣告,而且該名使用者一直在持續更新信用卡資料,其中絕大部分是美國和加拿大的信用卡。
MajikPOS 事件時間表
根據我們的研究發現,以下是 MajikPOS 相關事件的大略時間表:
上圖內容翻譯如下:
2016 年第三、第四季
歹徒利用連接埠掃瞄的方式或先前安裝的後門/遠端遙控木馬程式來發掘所要攻擊的目標。 |
2016 年 12 月至 2017 年 2 月
註冊信用卡資料販售商店的網域以及 C&C 網域。 |
2017 年 1 月底至 2017 年 2 月
製作 MajikPOS 檔案,我們發現歹徒從原始碼組譯到完成部署只需幾個小時。 |
2017 年 1 月底至今
部署 MajikPOS 惡意程式,最近一次試圖感染的案例出現在 2017 年 3 月 5 日,北美是受害最嚴重的地區,澳洲也在受害之列。 |
其他 MajikPOS 技巧
MajikPOS 是以 .NET 所撰寫,這一點不太常見,但也非絕無僅有。2015 年所出現的 GamaPOS 是第一個已知使用 .NET Framework 撰寫的 PoS 惡意程式。如同今日其他惡意程式一樣,MajikPOS 也使用加密的通訊來讓資安軟體更難偵測其網路流量。並且如同其他類似威脅 (例如 Black Atlas 攻擊行動) 一樣專門鎖定開放的 RDP 連接埠。
除此之外,我們也發現了一些會使用橫向移動工具的 MajikPOS 案例。這表示歹徒也會試圖進一步刺探受害者的網路。在其他獨立個案當中,我們也曾見到歹徒利用某個指令列工具來部署 MajikPOS 和其他 PoS 惡意程式。其他值得注意的還有,MajikPOS 會將自己的檔案命名成 Microsoft Windows 系統當中常見的檔案名稱。
如何降低風險
只要正確使用晶片式 (EMV) 信用卡再加 PIN 碼並配合端對端加密,應該就不必害怕這項威脅。但不幸的是,不支援新式晶片卡的 PoS 終端機就有可能遭到 MajikPOS這類威脅的危害。
儘管美國已經採用 EMV 標準 (這要歸功於 2015 年 10 月的 EMV Liability Shift 損失責任移轉法案的實施),但實際轉換仍是一項艱難挑戰。從 2015 年 7 月至 2016 年 6 月,美國的 EMV 晶片卡仍算不上普及。儘管美國企業和消費者正逐漸改用晶片式信用卡與 PoS 終端機,但許多商家仍未使用晶片的 PIN 碼功能。雖然 EMV 晶片卡並非萬靈丹,但是相較於傳統的磁條式信用卡,EMV 仍是較安全的選擇,因為絕大多數的 PoS 惡意程式 (如 MajikPOS) 攻擊都是針對磁條式信用卡。事實上,MasterCar 和 Visa 兩大機構皆表示在改用 EMV 晶片卡並配合新的 PoS 系統之後,信用卡盜刷的情況確實已減少。
不僅如此,養成一套良好的 PoS 防範習慣也會很有幫助。要進一步防範 MajikPOS,建議您要妥善保護好遠端存取功能 (例如系統內建的遠端桌面以及市面上的 VNC 軟體),尤其當您允許使用者透過網際網路進行遠端存取時。對於負責保護企業端點裝置的資安人員和 IT 系統管理員,參閱適當的文件來妥善保護遠端桌面和 VNC 軟體會是個好的開始。
趨勢科技解決方案
端點裝置應用程式控管或白名單機制,都能盡量避免裝置暴露於攻擊的風險,確保唯有白名單上的應用程式能夠安裝更新。趨勢科技的 OfficeScan™ 提供了各項保護端點的功能,例如,行為監控可用來偵測上述案例中出現的檔案名稱 (csrss.exe 和 conhost.exe),並且發出「與系統檔案重複」的警訊。此外,還可以偵測並防範其他類似的 RAT 惡意程式。趨勢科技的 趨勢科技的Deep Discovery Inspector 可用來發掘歹徒試圖在內部網路橫向移動的跡象,以及可能的暴力破解行為。趨勢科技目前已經可以藉由網站信譽評等服務來攔截 MajikPOS 的 C&C 流量。
趨勢科技的進階端點防護解決方案,如趨勢科技 趨勢科技 Smart Protection Suites 和 Worry-Free™ Business Security Worry-Free Pro能偵測並攔截所有相關的惡意檔案和 C&C 通訊。此外,在 PoS 裝置上實施應用程式控管也可大幅降低類似的威脅,確保只有白名單上的應用程式才能在裝置上執行。TippingPoint 客戶可利用下列 ThreatDV 過濾條件來防範這項威脅:
- 27432: HTTP: TSPY_MAJIKPOS.A Checkin
如需更多有關 MajikPOS 的分析,請參閱這份技術簡報,裡面詳述了這項威脅的入侵指標 (IoC)、攻擊過程、惡意行為以及失竊的資料如何被歹徒拿到地下論壇和網站販賣。
原文出處:MajikPOS Combines PoS Malware and RATs to Pull Off its Malicious Tricks