Alina – зловреден код, който е създаден, за да поразява ПОС терминални устройства.
Oпасността от кражба на данните на хиляди кредитни карти прави ПОС терминалните устройства критична система, както и все по-желана цел за киберпрестъпниците. Онлайн атаките над тези устройства са сравнително лесни, а продажбата на данните на черния пазар е достатъчно печелившо.
Наскоро открихме инфекции в значителен брой заведения в САЩ, чиито ПОС терминали бяха атакувани от два варианта на зловреден код за кражба на данни от кредитни карти.
Alina – зловреден код се състои от следните проби:
Име на файла MD5
Epson.exe 69E361AC1C3F7BCCE844DE43310E5259
Wnhelp.exe D4A646841663AAC2C35AAB69BEB9CFB3
Epson.exe представя невалиден сертификат:
Пробите са компилирани с Microsoft Visual C ++ 8 и не са опаковани или криптирани. След като зловредния софтуер се изпълни в системата, той продължава да анализира различните системни процеси като търси тези свързани с плащането с кредитни карти.
При пробата “Epson.exe” търси информация за кредитни карти в следните процеси:
При другата проба – “Wnhelp.exe” виждаме, че се съдържа списък, който се използва за „изхвърляне“ на анализираните процеси. Ако името на процеса съвпада с който и да е елемент в списъка, той няма да бъде анализиран при търсенето на кредитни карти:
И при двете проби, след като намери желан процесът, независимо дали е бил включен в списъка – както при Epson.exe – или защото е бил отхвърлен – както при Wnhelp.exe -се създава нова заявка:
Като продължи да анализира паметта, използвайки алгоритъм, специално създаден за проверка дали намерените данни са от кредитни карти:
Пробата Wnhelp.exe се изпълнява от атакуващия с командата “install” по такъв начин, че създава услуга, която да гарантира нейното постоянство в системата:
Услугата е с името “Windows Error Reporting Service Log”.
Пробата Epson.exe работи по същия начин, въпреки че атакуващите могат да конфигурират името на услугата според желанията си чрез параметрите:
install [Service name] [Service description] [Third parameter]
Всяка от пробите се свързва с отдалечен сървър за управление и контрол (C & C):
Epson.exe | dropalien.com/wp-admin/gate1.php |
Wnhelp.exe | www.rdvaer.com/ wp-admin/gate1.php |
След като се свързже с командния сървър може да получи различни команди от атакуващия:
Commands | Description |
update = [URL] | Malware update. |
dlex = [URL] | Downloads and runs file. |
chk = [CRC_Checksum] | Updates the file’s checksum. |
За връзка с контролния сървър се използва следния агент:
Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22”
Комуникацията се извършва чрез сигурна SSL връзка. Злонамереният софтуер променя конфигурацията на връзката с интернет, за да игнорира неизвестни CA (Certificate Authorities), като по този начин гарантира, че ще може да използва своя собствен сертификат.
Първо, той получава флаговетесвързани със сигурността на интернет връзката чрез API за InternetQueryOptionA с трети аргумент, зададен към стойността INTERNET_OPTION_SECURITY_FLAGS (31).
След като бъде получен, той извършва binary ИЛИ задава стойност на флага SECURITY_FLAG_IGNORE_UNKNOWN_CA (100 часа).
Заключение: Как да се предпазим от Alina- зловреден код или подобен тип атака
Атаките на ПОС терминалите все още са много популярни сред кибер престъпниците, особено в страни като Съединените щати, където използването на Чип и ПИН не е задължително. Много от тези атаки са насочени към фирми, които нямат специализиран персонал в областта на компютърните науки, много по-малко в областта на сигурността.
ПОС терминалите са компютри, които обработват критични данни и следователно тяхната защита трябва да бъдат подсилена до максимум ниво. За да се защитят клиентските данни от възможни рискове, решения като Adaptive Defense 360 могат да помагат. С тях ще се гарантира, че в тези терминали не се извършва злонамерен процес. Няма нужда да наемате специалист по сигурността, тъй като решението включва анализ, извършван в Panda Security. По този начин ще се осгирури максимална сигурност, че всичко, което е изпълнено на системите, е безопасно.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
www.antivirus.bg
support@antivirus.bg