出門刷卡要小心!一種可以從POS機終端收集信用卡信息的惡意軟體出現了
Neutrino與其他惡意軟體研發者一樣,都希望他們所研發的惡意軟體能夠長期地被黑客利用並佔據一定的市場份額,所以Neutrino不斷出現新的變體就不足為奇了。其中比較知名的是Zeus,卡巴斯基實驗室將其檢測為Trojan-Spy.Win32.Zbot,每年都會產生新的變異。另外像Mirai,NJRat,Andromeda等惡意軟體家族也都發展的比較迅猛。
在本文中,專家們會分析一種非常特殊的Neutrino變異體,一種可以從POS機終端收集信用卡信息的變體。
卡巴斯基實驗室其檢測為Trojan-Banker.Win32.NeutrinoPOS
描述文件的MD5:0CF70BCCFFD1D2B2C9D000DE496D34A1
攻擊前的準備階段
該變體在開始之前會經過一段長時間的「睡眠」隱蔽狀態,因為這樣能繞過許多安全產品的沙箱檢測。為了確定延遲時間,該變體會使用偽隨機數生成器(pseudorandom number generator)。
C&C通信
在這個階段,該變體會從其後台中提取了C&C地址列表。該列表是Base64編碼,解碼後,該變體會嘗試使用以下演算法找到一個工作的C&C:
1.將POST請求發送到伺服器,通過其base64字元串「enter」(ZW50ZXI =)中的自身編碼。所有編碼的字元串都包含前綴「_wv =」
你還應該注意到,在每個POST請求的標題中都有「auth」欄位,對於NeutrinoPOS的每個樣本,它們保持不變。
恢復C&C伺服器檢查的代碼
存儲在註冊表處的C&C地址HKCR Sofrware alFSVWJB與NeutrinoPOS樣本使用的其他變數和數據相同。變體名稱與這裡描述的不同,但是在兩個樣本完全比較之後,專家可以判定兩個樣品都是對Neutrino的修改。
C&C命令
以上描述的變體功能如下:
1.下載並啟動文件;2. 屏幕截圖;3.按名稱搜索運行過程;4.變更寄存器下分支的指令;5.在感染的主機上按名稱搜索文件,並將其發送到C&C;6.代理
伺服器以簡單的方式發送命令,如「PROXY」,「screenshot」等,以base64編碼。經過分析,在當前版本的Neutrino中,沒有DDoS攻擊的功能。
命令控制和計算的補充
幾個命令的例子(在上面的截圖上用紅色標記):
Rolxor(「PROXY」)= 0xA53EC5CRolxor(「screenshot」)= 0xD9FA0E3
NeutrinoPOS命令處理程序
竊取信用卡
竊取信用卡信息的演算法在木馬中實現很簡單,具體描述如下:
1.木馬開始使用當前運行的進程,使用CreateToolhelp32Snapshot Process32FirstW Process32NextW。
2.使用OpenProcess VirtualQuery ReadProcessMemory,該木馬獲取有關進程的內存頁面的信息。
3.木馬掃描內存頁面的字元串「Track1」,它標記磁卡的第一個磁軌的欄位。所有描述的領域一個接一個:
3.1 「0」到「9」範圍內的符號序列,長度等於15,16或19.使用Luhn演算法進行序列檢查。
3.2 在下一個和前一個欄位中檢查分離符號"^ 的存在。
3.3 提取持卡人名稱,最大長度,基於ISO / IEC 7813,等於26符號:
3.3 休息數據(Rest data)(CVC32,有效期,CVV)作為整個代碼塊被提取,並檢查長度和內容:
4.收集的數據發送到具有標記「Track1」的伺服器。
5.這時,木馬就開始提取帶有標記「Track2」的下一個欄位:
5.1首先,它提取PAN與前一個階段相同的檢查。
5.2 作為使用「 」或「D」的分離符號
5.3 Track2不包含持卡人名稱,因為休息數據作為整個代碼塊被提取
6.收集的數據發送到伺服器,標有「Track2」
對POS機終端的感染統計
最大的感染區域是俄羅斯和哈薩克,其中受感染的電腦中近10%屬於小企業客戶。
總結
從描述的Neutrino的變異版本可以看出,儘管Neutrino屬於一個已經古老的惡意軟體家族,但它仍然以非典型功能或應用的形式出現在黑客的手中。例如,我們可以看到它使用了與 Mirai技術分叉(fork)相同的技術。
一般來說,所有具有良好架構和各種功能的惡意軟體源代碼一旦被公布,就將引起惡意軟體開發者的極大興趣和關注,他們將嘗試將其用於幾乎所有可能的非法獲利方式。我們可以假設,現在可能已經有人利用Neutrino來進行加密貨幣的挖掘,只是我們還尚未發現具體案例而已。
MD5
CECBED938B10A6EEEA21EAF390C149C1
66DFBA01AE6E3AFE914F649E908E9457
9D70C5CDEDA945CE0F21E76363FE13C5
B682DA77708EE148B914AAEC6F5868E1
5AA0ADBD3D2B98700B51FAFA6DBB43FD
A03BA88F5D70092BE64C8787E7BC47DE
D18ACF99F965D6955E2236645B32C491
C2814C3A0ACB1D87321F9ECFCC54E18C
7C6FF28E0C882286FBBC40F27B6AD248
729C89CB125DF6B13FA2666296D11B5A
855D3324F26BE1E3E3F791C29FB06085
2344098C7FA4F859BE1426CE2AD7AE8E
C330C636DE75832B4EC78068BCF0B126
CCBDB9F4561F9565F049E43BEF3E422F
53C557A8BAC43F47F0DEE30FFFE88673
C&C
hxxp://pranavida.cl/director/tasks.php
hxxps://5.101.4.41/panel/tasks.php
hxxps://5.101.4.41/updatepanel/tasks.php
hxxp://jkentnew.5gbfree.com/p/tasks.php
hxxp://124.217.247.72/tasks.php
hxxp://combee84.com/js/css/tasks.php
hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php
hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php
hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php
hxxp://ns1.posnxqmp.ru/PANEL/tasks.php
hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php
hxxp://propertiesofseyshellseden.com/newfiz21/logout.php
hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php
hxxp://propertiesofseyshellseden.com/newfiz21/logout.php
hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php
點擊展開全文
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※HackerOne年度報告:安全眾測推出四年,成果幾何?
※利用 SSDP 協議生成 100 Gbps DDoS 流量的真相探秘
※CIA如何追蹤目標的真實地理位置?掃描附近公共WiFi
※基於 Viper 的二進位軟體自動分析框架
※WCTF世界黑客大師賽,你看懂了多少?
TAG:嘶吼RoarTalk |
※「買了新手機號,竟收到原用戶的銀行卡信息」,看工信部是如何回答「暢哥一流」的
※會「出賣」信息的機器人,卻是生活的好陪伴
※搶票軟體用著要當心,小心個人信息被泄露還免費替人打廣告!
※PS4出現嚴重漏洞,收到特定信息可導致機器變磚
※一加新危機,不少用戶信用卡信息存在泄漏風險
※Mac應用商店現多款惡意軟體竊取用戶信息 蘋果審核不嚴
※身體出現這幾種信息的你一定要注意了,可能是癌證的前兆
※ATM機新陷阱!被裝這種設備,有可能盜取銀行卡密碼等信息
※小心!或許你的手機應用正「出賣」你的信息
※沙盒也擋不住他們的腳步!惡意軟體利用macOS API和OCR組合拳竊取隱私信息
※蘋果CEO蒂姆庫克:關注用戶隱私權的重要性,儘可能少收集用戶信息,做到精益求精!
※一加手機確認手機買家的信用卡信息泄露,4萬用戶可能受到影響
※有了這個黑科技手機膜,再也不用擔心手機信息泄露!
※注意了iPhone X也能被破解了!FBI和黑客正在用這種軟體盜取信息
※警惕!你手機上任何一款APP 都可能泄露著你的消費信息
※找出關鍵信息
※RED首款智能手機更多信息流出,是否認同它的價值呢?
※警惕「直播答題」收集用戶信息,別再為幾塊錢出賣自己
※用PPT做信息圖表能甩PS三條街,你信嗎?
※脈脈APP請不要再盜竊我們的身份信息了!