“低成本”PoS攻击案例分析

不能避免的前言

攻击PoS系统是一个十分热门的话题，现如今随处都可以找到PoS恶意软件(jackPOS, gamaPOS, Backoff, FighterPOS…)。在每次媒体报道中不难得出这些攻击中都包含了高超的技术以及无所不能的工具，但是现在我要告诉你的是有时候我们使用一些小技巧就能够轻松拿下PoS系统，无须复杂高超的技巧便能够窃取信用卡账号之类的敏感信息。

在我们的调查中，我们捕获了一个十分有趣的“低成本”PoS攻击案例。本文旨在揭开其神秘面纱。

攻击过程回放

这一切得从外面获取到的一个Win32.Ardamax样本开始谈起，Ardamax是一个经典商业键盘记录的样本。

对样本进行逆向分析之后，看到似乎恶意软件向位于德国的FTP服务器(server4you)上传数据，我们十分轻松的登录到FTP服务器(登录名和密码能够在样本中找到)，同时我们还看到了部分受害者上传的数据。

这个FTP服务器似乎是从2014年10月9日开始使用，整个服务器上满是样本、工具以及接收到的数据。

由于server4you还没有关闭该服务器，所以我们现在不能够公布该样本。

在其中我们看到了原始的Win32.Ardamax样本，恶意软件(Darkomet, Andromeda, Gorynych…)，接收到的信用卡号，以及网站爬虫扫描结果。

在该服务器上我们还找到截图，麦克风录音，摄像头照片，以及感染电脑的按键记录。

攻击者已获得15个PoS电脑以及一些SCADA系统的控制权：

比利时SCADA

电影PoS

奶茶店PoS

PoS

PoS

巴西气泵

我们花费了大量的时间联系CERT以及受影响的公司，但是每天依旧有新的被感染数据传输到FTP服务器上。

攻击者是如何源源不断的发现并感染新的目标的呢？

在上传数据中的一些截图引起了我们的注意：有人针对大范围的IP地址使用VNC brute force工具。

攻击者所使用的这款工具我们在VirusTotal网站上获得相关信息：

https://www.virustotal.com/fr/file/b6c3445386f053c1cca711c8389ac8b12d05aad46bbfec02d721428442cd2ed5/analysis/1442602500/

似乎他们使用弱口令暴力破解受感染电脑的VNC servers。当建立一个新的VNC连接，通过常规浏览器下载一个新的载荷并安装到新的受感染机器上，整个过程没有使用到exploit或者高超的技巧。

安装Gorynych

一旦payload下载完成，杀毒软件会忽略它甚至杀毒软件会被完全卸载。当然这需要计算机上的管理员权限才能完成，但是在PoS系统上装没装杀毒软件或者病毒库有没有更新那就两说了。

这一天Gorynych正在到处传播：

https://www.virustotal.com/fr/file/406c30d40f3837615e3b393edc1d6667213c3d287ec006be6198d68124041d43/analysis/

最后但并非最不重要的，攻击者们利用以及妥协的计算机来管理Gorynych控制面板。

接连数天我们一直在跟踪目标，攻击者感染PoS然后使用类似SearchForCC的内存搜索工具来获取信用卡号。

小编要说

从中我们能够看到，这里不需要什么复杂的技术，更多时候攻击者能够影响大范围的系统。使用一个简短的152弱口令清单，攻击者便能够控制许多的PoS系统了。在本案例中，攻击者的目标多大放在了中小型企业。

当然如果这些企业做到以下3点，那么这个攻击方式也不会这么容易：

1.搭载PoS的电脑没有连入网络
2.使用更为复杂的VNC密码
3.管理员账户的权限设置更加完善

附录

FTP站点上找到的Payload

1edc2a1c19a6deb330f21eb0f70d6161 a.exe
6b5ea21045e2c689f6f00e6979955e29 al.exe
4645b7883d5c8fee6579cc79dee5f683 ares.exe
9d87838b7de92cfa5675a34f11d3e7e1 b1.exe
af13c28f32b47423bfebb98de3a7d193 b2.exe
bf395a47eac637f0b2b765ba91d914c7 b3.exe
af36ed9267379f86fc12cc0cfc43938e bm.exe
57138e9fd20b9b93129ed599062bd379 cn.exe
f8058abb53ae90512b3da787bb25a21e dx.exe
0762764e298c369a2de8afaec5174ed9 fgdump.exe
9e76d363a7f93a2ef22483ce1866e8ee gt.exe
413ba3a4705504e528ce05c095cbc8a5 loader.exe
abd788f868ff4a96b91846dd46c9e701 mircpsy.exe
255daa6722de6ad03545070dfbef3330 mmon.exe
cc074e5542c0daca3d9b261dc642bfaa n.exe
85e5727d23ab417a1d05ce656de358b6 new(1)text.exe
79c8661bd5e69df5bb94032a356adc33 nyf1.exe
f461873a10a4b49197a822db88b707fa PowerGrep4.exe
467dc270f0d0619dbd1dfcc554da5f8b private.exe
10c7cdc821291921a957b94b101524af prv.exe
619e2172359cfff98f3124bdd4d9eeb5 q.exe
7c44933863109c101a52c04544626b7f r.exe
780fe52363ec0745da43fc6776f0be8c Spark.exe
af5aac5ef503c929db12d8e031788321 spy.exe.exe
2976768953979e045c1b5773de29e230 sweet.exe
5f6158cbfc5b2f80ad2ebcbeebfd1562 t2s.exe
30a9088df5a7586ca418cb1600ac8683 x64.exe
ef295b49ac6d6e6a4a43b5af75584830 zip.exe

相关服务器

posserverupdate.ddns.net
teamviewer.ddns.net
anjing.no-ip.biz
chiproses.net
maculastudios.com
room402.in
193.84.64.159
212.105.175.93
173.214.168.141