本文講的是出門刷卡要小心!一種可以從POS機終端收集信用卡資訊的惡意軟體出現了,Neutrino與其他惡意軟體研發者一樣,都希望他們所研發的惡意軟體能夠長期地被黑客利用並佔據一定的市場份額,所以Neutrino不斷出現新的變體就不足為奇了。其中比較知名的是Zeus,卡巴斯基實驗室將其檢測為Trojan-Spy.Win32.Zbot,每年都會產生新的變異。另外像Mirai,NJRat,Andromeda等惡意軟體家族也都發展的比較迅猛。
在本文中,專家們會分析一種非常特殊的Neutrino變異體,一種可以從POS機終端收集信用卡資訊的變體。
卡巴斯基實驗室其檢測為Trojan-Banker.Win32.NeutrinoPOS
描述檔案的MD5:0CF70BCCFFD1D2B2C9D000DE496D34A1
攻擊前的準備階段
該變體在開始之前會經過一段長時間的“睡眠”隱蔽狀態,因為這樣能繞過許多安全產品的沙箱檢測。為了確定延遲時間,該變體會使用偽隨機數生成器(pseudorandom number generator)。
C&C通訊
在這個階段,該變體會從其後臺中提取了C&C地址列表。該列表是Base64編碼,解碼後,該變體會嘗試使用以下演算法找到一個工作的C&C:
1.將POST請求傳送到伺服器,通過其base64字串“enter”(ZW50ZXI =)中的自身編碼。所有編碼的字串都包含字首“_wv =”
2.工作伺服器響應404頁面,其中包含最後編碼字串c3VjY2Vzcw ==(success)。在“成功”的情況下,rTojan會將已使用的伺服器的地址標記為正常工作狀態。
你還應該注意到,在每個POST請求的標題中都有“auth”欄位,對於NeutrinoPOS的每個樣本,它們保持不變。
恢復C&C伺服器檢查的程式碼
儲存在登錄檔處的C&C地址HKCR Sofrware alFSVWJB與NeutrinoPOS樣本使用的其他變數和資料相同。變體名稱與這裡描述的不同,但是在兩個樣本完全比較之後,專家可以判定兩個樣品都是對Neutrino的修改。
C&C命令
以上描述的變體功能如下:
1.下載並啟動檔案;
2. 螢幕截圖;
3.按名稱搜尋執行過程;
4.變更暫存器下分支的指令;
5.在感染的主機上按名稱搜尋檔案,並將其傳送到C&C;
6.代理
伺服器以簡單的方式傳送命令,如“PROXY”,“screenshot”等,以base64編碼。經過分析,在當前版本的Neutrino中,沒有DDoS攻擊的功能。
命令控制和計算的補充
幾個命令的例子(在上面的截圖上用紅色標記):
Rolxor(“PROXY”)= 0xA53EC5C
Rolxor(“screenshot”)= 0xD9FA0E3
NeutrinoPOS命令處理程式
竊取信用卡
竊取信用卡資訊的演算法在木馬中實現很簡單,具體描述如下:
1.木馬開始使用當前執行的程式,使用CreateToolhelp32Snapshot Process32FirstW Process32NextW。
2.使用OpenProcess VirtualQuery ReadProcessMemory,該木馬獲取有關程式的記憶體頁面的資訊。
3.木馬掃描記憶體頁面的字串“Track1”,它標記磁卡的第一個磁軌的欄位。所有描述的領域一個接一個:
3.1 “0”到“9”範圍內的符號序列,長度等於15,16或19.使用Luhn演算法進行序列檢查。
3.2 在下一個和前一個欄位中檢查分離符號`^`的存在。
3.3 提取持卡人名稱,最大長度,基於ISO / IEC 7813,等於26符號:
3.3 休息資料(Rest data)(CVC32,有效期,CVV)作為整個程式碼塊被提取,並檢查長度和內容:
4.收集的資料傳送到具有標記“Track1”的伺服器。
5.這時,木馬就開始提取帶有標記“Track2”的下一個欄位:
5.1首先,它提取PAN與前一個階段相同的檢查。
5.2 作為使用“`”或“D”的分離符號
5.3 Track2不包含持卡人名稱,因為休息資料作為整個程式碼塊被提取
6.收集的資料傳送到伺服器,標有“Track2”
對POS機終端的感染統計
最大的感染區域是俄羅斯和哈薩克,其中受感染的電腦中近10%屬於小企業客戶。
總結
從描述的Neutrino的變異版本可以看出,儘管Neutrino屬於一個已經古老的惡意軟體家族,但它仍然以非典型功能或應用的形式出現在黑客的手中。例如,我們可以看到它使用了與 Mirai技術分叉(fork)相同的技術。
一般來說,所有具有良好架構和各種功能的惡意軟體原始碼一旦被公佈,就將引起惡意軟體開發者的極大興趣和關注,他們將嘗試將其用於幾乎所有可能的非法獲利方式。我們可以假設,現在可能已經有人利用Neutrino來進行加密貨幣的挖掘,只是我們還尚未發現具體案例而已。
MD5
CECBED938B10A6EEEA21EAF390C149C1
66DFBA01AE6E3AFE914F649E908E9457
4DB70AE71452647E87380786E065F31E
9D70C5CDEDA945CE0F21E76363FE13C5
B682DA77708EE148B914AAEC6F5868E1
5AA0ADBD3D2B98700B51FAFA6DBB43FD
A03BA88F5D70092BE64C8787E7BC47DE
D18ACF99F965D6955E2236645B32C491
3B6211E898B753805581BB41FB483C48
7D28D392BED02F17094929F8EE84234A
C2814C3A0ACB1D87321F9ECFCC54E18C
74404316D9BAB5FF2D3E87CA97DB5F0C
7C6FF28E0C882286FBBC40F27B6AD248
729C89CB125DF6B13FA2666296D11B5A
855D3324F26BE1E3E3F791C29FB06085
2344098C7FA4F859BE1426CE2AD7AE8E
C330C636DE75832B4EC78068BCF0B126
CCBDB9F4561F9565F049E43BEF3E422F
53C557A8BAC43F47F0DEE30FFFE88673
C&C
hxxp://pranavida.cl/director/tasks.php
hxxps://5.101.4.41/panel/tasks.php
hxxps://5.101.4.41/updatepanel/tasks.php
hxxp://jkentnew.5gbfree.com/p/tasks.php
hxxp://124.217.247.72/tasks.php
hxxp://combee84.com/js/css/tasks.php
hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php
hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php
hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php
hxxp://ns1.posnxqmp.ru/PANEL/tasks.php
hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php
hxxp://propertiesofseyshellseden.com/newfiz21/logout.php
hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php
hxxp://propertiesofseyshellseden.com/newfiz21/logout.php
hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php
原文釋出時間為:2017年6月30日
本文作者:xiaohui
本文來自雲棲社群合作伙伴嘶吼,瞭解相關資訊可以關注嘶吼網站。