针对新型POS机恶意软件Trojan.Win32.Alinaos的分析
译者:eridanus96
预估稿费:200RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
日常生活中,当我们刷卡后,POS机通常会保存我们的消费记录,其中就包含信用卡的信息。因此,POS机已经成为了一个关键的系统,同时也日益成为网络犯罪者的重要攻击目标。
如今在黑市上,有不少人都在通过售卖信用卡信息来赚取非法盈利。而在网络中,针对POS终端进行攻击也相对简单。正因如此,我们需要关注POS机的安全。
近期,我们在美国的大量酒吧和餐厅都发现了POS机恶意软件。经过分析,他们的POS终端是被信用卡信息窃取恶意软件的两个变种所感染。
本文中,我们要分析的恶意软件如下:
分析过程
其中,Epson使用了一个无效的证书:
这两个样本都是使用Microsoft Visual C 8 编译而成的,并且没有经过加壳或者加密。一旦恶意软件在系统中运行,它会自动分析系统中不同的进程,以搜索信用卡信息。
在这里,我们重点关注恶意软件是通过哪些不同的方法,在内存中寻找到包含信用卡信息的程序:
在“Epson.exe”样本中,它会按照以下步骤搜索信用卡信息:
而另一个变种,“Wnhelp.exe”样本中包含一个不进行分析的进程清单。如果进程名称符合表格中的任意一项,在搜索信用卡信息时就不会分析该进程:
Wnhelp.exe不分析的进程:
在这两个样本中,一旦发现需要对某个进程进行分析,将会创建一个新线程:
然后,恶意软件将会使用专门设计的算法来分析内存,以检查所找到的数据是否属于信用卡信息:
pos机怎么办理
Wnhelp.exe样本是由攻击者通过“install”命令执行的,该病毒会创建一个服务,以确保其在系统中能持续存在:
该服务的名称为“Windows错误报告服务日志”(Windows Error Reporting Service Log)。
拉卡拉支付样本Epson.exe的工作方式与Wnhelp大体相同,但不同的是,攻击者可以通过修改参数来配置服务的名称:
install [服务名称] [服务描述] [第三个参数]
这两个变种,分别会连接到不同的C&C服务器:
Epson.exe:dropalien[.]com/wp-admin/gate1.php
Wnhelp.exe:www[.]rdvaer[.]com/wp-admin/gate1.php
在连接之后,它们可以接收到攻击者的不同指令:
update=[URL] —— 通过指定URL,对恶意软件进行更新
dlex=[URL] —— 通过指定URL,下载并运行程序
chk=[CRC校验值] —— 提供更新文件的CRC校验值
上述恶意软件会使用如下代理:
“Mozilla/5.0 (Windows 拉卡拉官网 NT 6.2; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22”
恶意软件与C&C主机的通信会通过SSL传输。并且,恶意软件通过修改网络连接配置,以避免产生“未知的证书颁发机构”(Unknown CAs)安全警告,从而确保它能够使用自己的证书。
首先,它通过InternetQueryOptionA API获得网络安全连接的标志,并将第三个参数的值设置为“INTERNET_OPTION_SECURITY_FLAGS(31)”。一旦成功,它将会带有“SECURITY_FLAG_IGNORE_UNKNOWN_CA (100h)”的标志,就可以继续执行下一步操作。
如何防范POS攻击
目前,针对POS的攻击已经十分流行,特别是在美国这样没有强制使用带有芯片的信用卡和刷卡密码的国家。并且,许多POS机的使用者并不掌握安全方面的技能,甚至对计算机都知之甚少,这便无形中提高了攻击的成功几率。
POS终端是处理关键数据的计算机,因此必须重视对于其安全的加强,从而保护客户的数据免受泄露的风险。针对用户,建议大家更换并使用带有芯片的银行卡,并且开启密码验证功能。除此之外,使用一些自适应防御的解决方案,也能有助于确保在终端中不会有恶意进程运行。
安装POS机 POS机网站
拉卡拉POS机免费申请,免费办理,卡拉合伙人,添加QQ/微信:191506129 备注:POS机!
如若转载,请注明出处:https://www.chakanmima.top/10482.html
相关推荐
-
安装POS机:信用卡为什么用了好几年 ,不提额不说了,反而被降额封卡了?
信用卡为什么用了好几拉卡拉POS机传统出票版年 ,不提额不说了,反而被降额封卡了? 如今使用信用卡的人越来越多,使用信用卡有很多好处。第一,会丰富你的信用记录,要知道银行是最怕白户…
-
pos机套现:想办信用卡,为什么老是被银行拒绝,可以参考
想办信用卡,为什么老是被银行拒绝,可以参考 1、个人基本信息 这一点十分重要,银行非常看重申请人的信息统一性,如果你征信上的个人基本信息跟申卡时填写的信息差异较大,那就很可能被拒,…
-
无线POS机:“支付江湖”B端争夺战升级 拉卡拉携手华为推手机POS
“支付江湖”B端争夺战升级 拉卡拉携手华为推手机POS 新一轮支付与收单方式之争正在升级。随着支付C端市场的逐渐成熟,市场份额也相对稳定,支付机构对B端市场的争夺战开始加剧,手机P…
-
拉卡拉代理加盟:硕凯电子应用案例:POS机RS232防护方案设计
硕凯电子应用案例:POS机RS232防护方案设计扫码POS机 RS-232应用范围广泛、价格便宜、编程容易并且可以比其它接口使用更长的导线,RS-232和类似的接口仍将在诸如监视和…
-
拉卡拉POS机传统出票版:市交通运输委:公交老年卡刷卡无效应照章投币
市交通运输委:公交老年卡刷卡无效应照章投币 《政民零距离》栏目网民“华庆昭”留言:敬老卡在车上读不出,应当允许坐车。本人敬老卡在633路车上读不出来,司机要求要么投币要么下车。司机…
-
拉卡拉智能POS机:信用卡代还灰色产业链:有人离场,有人仍逆风作案
信用卡代还灰色产业链:有人离场,有人仍逆风作案 “中间商”萌生退意,智能代还App关停。长期处于灰色地带的信用卡代还市场,正在遭遇“围堵封杀”。和“圈内”不少奔着“挣钱”目的而来,…
-
pos机怎么办理:信用卡逾期之后有什么危害?应该怎么办?
信用卡逾期之后有什么危害?应该怎么办? 这几天翻看了很多,发现很多朋友问得最多就是,信用卡逾期了怎么办?怎么利息越滚越多?那逾期之后,如何去协商? 首先先看下面这张图(要分析自己的…
-
拉卡拉POS机:一不小心信用卡逾期了 该怎么办?
一不小心信用卡逾期了 该怎么办? 对于每一个持卡人来说,信用卡存在两个非常重要的日期:账单日和还款日。然而现在不少人都申请了好几张卡,不乏会出现遗漏或者记错的现象。其中,还款日是还…
-
卡拉合伙人:大洗牌!全球货币支付:美元升至41.1%,欧元36.43%,人民币呢?
大洗牌!全球货币支付:美元升至41.1%,欧元36.43%,人民币呢? 3月底,环球银行金融电信协会(SWIFT)发布了2023年2月份的全球货币支付占比,其中,美元的支付占比升至…
-
拉卡拉官网:信用卡取现收费高,日常借贷可以选择微粒贷
信用卡取现收费高,日常借贷可以选择微粒贷 现在信用卡的使用率可以说是很高的了,它不仅支持在日常消费中使用,还提供取现服务。但编者认为信用卡取现并不划算,日常借贷编者更喜欢用微粒贷,…
