為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

 

儘管屬於最古老端點銷售(PoS)記憶體擷取惡意軟體家族之一,RawPOS(趨勢科技偵測為TSPY_RAWPOS)在今天仍然相當活躍,幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣,但這惡意軟體加進了身分竊盜的新行為,讓受害者面臨更大的風險。具體地說,這新行為是關於RawPOS會竊取使用者的駕照資訊,可以用在駭客集團的其他惡意活動。

 

圖1:從2009至2014年的PoS記憶體擷取程式家族

 

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上,PoS威脅的目標是信用卡的磁條資料,並且使用其他元件(如鍵盤側錄程式和後門程式)來取得其他有價值的資料。RawPOS企圖兩者通知,巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一,RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例:

((B(([0-9]{13,16})|([0-9]|s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}=(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30}))

圖2:用於比對磁條資料的正規表達式範例

(流程圖取自Regexper,作者是Jeff Avallone;經由CC BY 3.0許可使用)

 

轉譯如下:

Track 1 %B{credit card number}^{last name}\{first name}^{expiration year}{expiration month}{service code and other data}
Track 2 ;{credit card number}={expiration year}{expiration month}{service code and other data}

 

一旦比對成功,記憶體轉儲程式會儲存程序記憶體內容,讓檔案擷取程式整理資料。一般來說,記憶體轉儲和檔案擷取程式都會用相同的正規表達式規則。

 

RawPOS有哪些更新?

 

下表顯示RawPOS模式比對在這幾年來的變化。

2008 ((B(([0-9]{13,16})|([0-9]|s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}=(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30}))
2009-2014 ((B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}([A-Z]|=)(0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30})|(<Field name=”CardNumber”>[0-9]{15,19}</Field>)|(~CCM[0-9]{15,19}D[0-9]{4}~))
2014-2015 ((B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^[0-9]{2}((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}(D|=)[0-9]{2}((0[1-9])|(1[0-2]))[0-9]{8,30})|(<Field name=”CardNumber”>[0-9]{15,19}</Field>)|(~CCM[0-9]{15,19}D[0-9]{4}~))
2015 ((<Field name=”CardNumber”>[0-9]{15,19}</Field>)|(B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^[0-9]{2}((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}(D|=)[0-9]{2}((0[1-9])|(1[0-2]))[0-9]{8,30}))
2016 ((<Field name=”CardNumber”>[0-9]{15,19}</Field>)|(B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^[0-9]{2}((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([3-7][0-9]{14,15}(D|=)[0-9]{2}((0[1-9])|(1[0-2]))[0-9]{8,30}))
2016-2017 ((B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^[0-9]{2}((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}(D|=)[0-9]{2}((0[1-9])|(1[0-2]))[0-9]{8,30})|(ANSI\s636[0-9]{5,10}[\s\w]{10,500}))

OR

((<Field name=”CardNumber”>[0-9]{15,19}</Field>)|(B(([0-9]{13,16})|([0-9]|\s){13,25})\^[A-Z\s0-9]{0,30}\/[A-Z\s0-9]{0,30}\^[0-9]{2}((0[1-9])|(1[0-2]))([0-9]|\s){3,50})|([0-9]{15,16}(D|=)[0-9]{2}((0[1-9])|(1[0-2]))[0-9]{8,30})|(ANSI\s636[0-9]{5,10})|([Dd]rivers.[Ll]icense))

 

最初幾年幾乎完全一樣,只有些小修改。但從2016年開始,趨勢科技發現一些顯著的不同。底下會更仔細地研究:

圖3:正規表達式樣本比對到新檔案,如SHA256

d931c76219c042cc9f9b50e1c50b678cefb10431683e4e9f9afde9b06a32dafe

(流程圖取自Regexper,作者是Jeff Avallone;經由CC BY 3.0許可使用)

 

前3行是信用卡的詳細資料,而「駕駛」和「執照」字串是額外的收穫,但是字串「ANSI 636」呢?

結果這是定義在2013北美AAMVA DL / ID卡片設計標準中,這標準強制規定用PDF417條碼來協助「驗證身份和年齡,行政程序自動化和地址驗證」。PDF417是給機器讀的2維條碼,本身是單獨的標準。

數字「636」是美國大多數州發行者識別號碼(IIN)的起始號碼,讓我們知道這裡所關切的資料是美國境內的駕照資料。所儲存的資料因州而異,但條碼大多包含跟駕照或州身分證相同的資料 – 也就是:全名、出生日期、詳細地址、性別、身高,甚至是頭髮和眼睛的顏色。

ANSI 636061050002DL00410337ZW03780013DCAD
DCB1
DCDNONE
DBA02212021
DCSSAMPLECARD
DACTHOMAS
DADALEXANDER
DBD12032013
DBB02211984
DBC1
DAYBRO
DAU76 in
DAG1234 COMMODORE JOSHUA BARNEY DRIVE,
DAIWASHINGTON
DAJDC
DAK00000-0000
DAQ1234567
DCF20130917090716MARKS999999
DCGUSA
DDEU
DDFU
DDGU
DAH(999) 999-9999
DAZBRO
DCJ
DDA
DDB09172013
DAW200
DDH02212002
DDI02212003
DDJ02212005
ZWZHCDCDL_DL

圖4:駕照二維條碼的範例值

 

雖然這條碼比信用卡少見,但並非不存在。有些人可能會在某些場合被要求掃描駕照條碼,像是藥局、零售商店、酒吧、賭場和其他地方。

 

這些改變代表什麼?

 

將個人資料和信用卡資料加在一起能夠帶給威脅分子更「正統」的身份資料,也提供了完成交易所需的其他所有資料,儘管少了實體卡片。除此之外,受害者的駕照條碼也可用在其他類型的詐騙上,如身份竊盜。無論如何,個人身份資料(PII)被竊都是個嚴重的問題,可能對受害者帶來可怕的後果。

 

趨勢科技解決方案

作為消費者,有一些方法可以在遇上信用卡詐騙時保護自己,如聯邦貿易委員會(FTC)信用卡發卡銀行所提供的介紹。在此例中,RawPOS所針對的是飯店櫃檯,所以在度假後記得檢查信用卡帳單。此外,多數發卡商都會讓你能夠設定警訊用來監控帳戶的異常交易,並立即回報這些異常交易。當遇到需要資格驗證(如駕照)的時候,也要密切注意是用刷磁條的方式還是用電子方式讀取。

 

對企業來說,可以利用端點應用控制或白名單技術來確保只有被允許的應用程式可以安裝,減少受攻擊的風險。在PoS設備上實作應用程式控制也可以確保只有白名單內的應用程式可以執行,顯著地解決類似的攻擊。此外,趨勢科技先進的端點解決方案,如趨勢科技趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 和趨勢科技Worry-Free Pro都可以偵測和封鎖相關的惡意檔案(被偵測為TSPY_RAWPOS.SM和TSPY_RAWPOS.SM1)。最後,趨勢科技的趨勢科技的Deep Discovery Inspector可以偵測疑似橫向移動的網路活動,這是RawPOS操作者常做的事,因為他們會試著找出更多的端點銷售(PoS)機器。

 

@原文出處:RawPOS: New Behavior Risks Identity Theft 作者:趨勢科技網路安全解決方案團隊