端點銷售（PoS）惡意軟體 - 資安趨勢部落格

【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

2015 年 12 月 07 日2016 年 01 月 25 日趨勢科技 TrendMicro

隨著購物季節即將到來，也出現了多起關於信用卡資料外洩危及各行業及其客戶資料的消息。著名的像是希爾頓酒店和其他類似企業資料外洩事件是由端點銷售（PoS）惡意軟體所造成，讓許多人會擔心會有許多實體店面遭受數位威脅。研究人員還發現有大規模攻擊活動利用模組化ModPOS惡意軟體來竊取美國零售商的支付卡資料。

然而就趨勢科技所見，並不僅是美國零售業者面臨資料外洩風險。我們發現一個具備隱匿性,會搜尋網路中PoS系統的傀儡殭屍網路(請參考殭屍網路即時分布圖)。它擴大其攻擊面至全世界的中小型商業網路，包括一間美國的醫療機構。我們將它稱為Black Atlas行動，因為此攻擊行動所主要使用的惡意軟體是BlackPOS。

自2015年九月就可以看到Black Atlas行動出現，正好在購物季節前播下種子。其目標包括醫療保健、零售業及許多依賴卡片交易系統的產業。

這起攻擊行動是由技術相當先進的網路犯罪分子所進行，其非常了解各種滲透測試工具，並且對地下市場內的端點銷售（PoS）惡意軟體有相當廣的關聯。行動操盤手製作了一套就像瑞士刀一樣的工具集，每個工具都提供不同的功能。Black Atlas所用的惡意軟體包括（但不限於）Alina，NewPOSThings，一個Kronos後門程式和BlackPOS等變種。BlackPOS也被稱為Kaptoxa，是2013年Target資料外洩和2014年攻擊多個零售商帳戶所用的惡意軟體。

跟GamaPoS類似，Black Atlas行動採用散彈槍模式來滲透網路，而非尋求特定目標。基本上會檢查網路上可用的端口，看看是否能夠進入，結果就在世界各地找到多個目標。下圖顯示這些目標的所在地,台灣也列入其中：

圖一、Black Atlas行動中Gorynych目標分布 繼續閱讀

2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)

2015 年 11 月 24 日2015 年 11 月 24 日趨勢科技 TrendMicro

2015 年第三季 (七至九月) 出現了不少重大資安威脅，例如：銷售櫃台系統 (PoS) 惡意程式、系統漏洞以及 Pawn Storm攻擊行動。我們在第三季資訊安全總評季報「危險迫在眉睫：今日的漏洞將為明日的攻擊揭開序幕」當中詳細說明了這些威脅。

在 PoS 惡意程式方面，我們看到這一季的攻擊數量明顯增加。不過，駭客卻已悄悄將目標移轉到中小企業 (SMB)。這一季，整體攻擊量較 2015 年第二季 (四至六月) 幾乎翻了一倍。本季，中小企業占全球所有 PoS 惡意程式偵測數量的 45%，其次是一般消費者，占 27%，大型企業則只占 19%。這現象反映出這類獲利導向的攻擊目前共通的局勢，那就是：中小企業已成為駭客的「理想目標」，一方面中小企業可提供比一般消費者更高的獲利，另一方面卻比大型企業相對缺乏資源，無法建置進階的安全防護措施。而在美國，2015 年 10 月 11 日的 EMV 信用卡設備建置期限，似乎也扮演了一項重要因素，因為大型機構大多擁有足夠的資源來升級設備以支援 EMV 技術，中小企業則不然。

第三季同樣也是系統漏洞情況嚴重的一季。本季出現了多個零時差漏洞，主要原因是 Hacking Team 駭客公司在七月發生資料外洩，導致該公司將近 400GB 的內部資料外流。而這批資料當中即包含了多個 Hacking Team 資料外洩所發現的系統漏洞 (這些漏洞很可能也已用於他們所開發的間諜工具當中)。這批資料外流之後，漏洞研究人員 (包括趨勢科技在內) 紛紛迅速投入研究，希望找出其中所包含的漏洞，並且盡快找出解決方法。全部加起來， Hacking Team 資料外洩外流的資料總共被找到五個新的未修補漏洞，其中三個是由趨勢科技研究人員所發現。它們主要是Adobe Flash 的漏洞，但 Microsoft Windows 也無法倖免。不幸的是，駭客們也掌握了這批資料，同時也很快就將某些漏洞收錄至漏洞攻擊套件當中，其中最知名的就是 Angler 漏洞攻擊套件，該套件在這起資料外洩發生幾天之後就收錄了其中一個 Adobe Flash 漏洞。
繼續閱讀

MalumPoS 惡意程式,可針對任何POS系統發動攻擊

2015 年 06 月 10 日2015 年 06 月 23 日趨勢科技 TrendMicro

趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式，就目前看到的情況，它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統，竊取其中的資料，此PoS平台是飯店、餐飲及零售業廣泛使用的系統。

Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台，他們大多集中在美國，一旦此 PoS 記憶體擷取程式成功入侵他們的系統，這些知名的美國企業和其顧客都將陷入危險當中。

MalumPoS 這類 PoS 記憶體擷取程式，一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時，惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後，惡意程式會傳回給幕後犯罪集團，犯罪集團再用來製作偽卡，或用於線上購物詐騙。

MalumPoS 在設計上已內建設定彈性，也就是說，未來還能隨時修改或新增其他攻擊程序和攻擊目標，例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序，到那時，使用這類系統的企業都將陷入危險。

其他重要特點

MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比，有幾項有趣的特點：

偽裝成 NVIDIA 顯示卡驅動程式：當植入系統當中時，MalumPoS 會使用「NVIDIA Display Driver」或「NVIDIA Display Driv3r」的名稱來偽裝成顯示卡驅動程式。雖然一般的 PoS 系統並不需要安裝 NVIDIA 顯示卡驅動程式，但 NVIDIA 在使用者之間的知名度很可能讓使用者不疑有他。

圖 1：MalumPOS 偽裝成系統服務 繼續閱讀

< IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?

2015 年 03 月 31 日2016 年 01 月 25 日趨勢科技 TrendMicro

端點銷售：端點受駭

作者： Rik Ferguson（趨勢科技資安研究副總）

2014年的端點銷售（PoS）惡意軟體攻擊呈現巨大的跳躍，不管是數量上、素質上或危害的範圍。這些惡意作品通常是指PoS記憶體擷取程式，設計用來入侵進行銷售交易的業務用終端機。

經常有著數以千萬計的支付用卡片資料被竊，有時是一次攻擊行動就能造成。這些卡片資料接著會賣往地下世界的卡片論壇，它們在那被用來進行詐騙性購物、轉帳或提款。這些大規模的搶案已經成為分布全球地下卡片經濟的供應鏈骨幹。

它們如何運作？

當付款終端機在交易中處理你的信用卡資料時，在多數情況下它都是安全的加密、儲存和傳輸。然而，當資料在終端機內使用，交易發生的當下，它在終端機記憶體內以明碼的形式處理。PoS記憶體擷取程式是攻擊者設計用來檢查終端機內執行程序用記憶體及提取支付卡資料以供將來批量取回。也因為如此，PoS終端機變成了更具吸引力的犯罪對象；一次得逞的攻擊可以讓惡意份子賺到遠比傳統攻擊個別消費者要更多的錢。

為什麼 2014是指標性的一年？

如同2014年度安全綜合報告內所述，「損失的增加，也擴大了為網路攻擊作好準備的需求」，很簡單，在2014年看到了犯罪重心放到這領域呈現顯著地上升。在2009到2013年間，總共看到7種不同的PoS惡意軟體家族；即RawPOS、Rdasrv、Alina、Dexter、BlackPOS、Chewbacca和VSkimmer。繼續閱讀