欧美国产片视频免费观看,叼嘿视频APP苹果下载,亚洲国产精品无码中文字

最近兩年，POS惡意軟件由于塔吉特、家得寶、Kmart遭遇的pos機攻擊而被廣泛關(guān)注。隨著“黑色星期五”購物季的到來，PoS機惡意軟件必定會受到關(guān)注。

PoS攻擊者們不會僅僅依賴他們自己的惡意軟件進行攻擊、竊取受害者數(shù)據(jù)。他們還會用上大量其他的工具達到目的。有些是系統(tǒng)管理員也會用的如putty，還有些是微軟提供的Sysinternals Suite工具包中的軟件。

通過黑客們使用的這些工具我們可以更加了解他們的情況。

大多數(shù)PoS終端機都不安全

不幸的是，PoS終端和PoS環(huán)境基本都是不安全的。這給攻擊者提供了極好的機會。黑客攻擊PoS終端的方式多種多樣，其中一種是通過VNC(Virtual Network Computing，虛擬網(wǎng)絡計算)。

一般來說，PoS機要么無需用戶名密碼，要么使用弱口令。這給黑客們提供了極好的機會。

微軟的遠程桌面協(xié)議(RDP)也是PoS環(huán)境中的容易被黑客利用的工具。與VNC一樣，RDP配置基本是無需密碼或者是弱口令。

BackOff 工具包

今年年初，趨勢科技發(fā)布了一篇報告詳細說明各種針對PoS的惡意軟件，其中就包括了著名的BackOff。2014年7月，BackOff開始流行起來并被廣泛使用，主要是因為它能夠自定義打包以混淆代碼，使得研究人員難以逆向其代碼。

BackOff會一直與命令與控制服務器(command-and-control, C&C)以傳輸獲得的數(shù)據(jù)或者接收配置更新。除此之外，這些服務器會被用來與被入侵的設備傳輸工具軟件。當攻擊者要攻擊多個設備時，他們會用這些服務器將惡意軟件傳輸?shù)絇oS，以減少工作量。

在研究BackOff的過程中，一份特別的樣本引起了我們的注意 – r0.exe。我們發(fā)現(xiàn)這個樣本連接到了http://143biz.cc.md-14.webhostbox.net。這個C&C服務器包含了大量的信息，包括攻擊者使用的工具，他們?nèi)绾未鎯?shù)據(jù)等。我們注意到攻擊者在入侵PoS機后，會使用一連串的工具。

服務器中有多個文件，我們會在下文中列舉說明。這不是服務器文件的完整列表，但足以說明一些情況。

r0.exe (MD5校驗值: 7a5580ddf2eb2fc4f4a0ea28c40f0da9)：

一份BackOff樣本，編譯于2014年10月22日。程序連接以下2個C&C服務器:

https://cyberwise.biz/register/register.php
https://verified-deal.com/register/register.php

r0.exe還會創(chuàng)建互斥體aMD6qt7lWb1N3TNBSe4N。

3-2.exe (MD5校驗值: 0fb00a8ad217abe9d92a1faa397842dc)：

一份BackOff樣本，編譯于2014年10月22日，稍早于r0.exe。程序連接以下服務器:

https://kitchentools.ru/phpbb/showtopic.php
https://cyclingtools.ru/phpbb/showtopic.php
https://biketools.ru/phpbb/showtopic.php

DK Brute priv8.rar (MD5校驗值: 028c9a1619f96dbfd29ca64199f4acde) ：

此壓縮包包含多個工具和文件，其中就包括SSH/telnet客戶端putty.exe。還有UltraVNCViewerPortable.exe和WinSCP，這些工具都是被用來連接遠程系統(tǒng)和傳輸文件的。

壓縮包中還包括DK Brute.exe，這是一款調(diào)用字典對Windows RDP和其他遠程連接協(xié)議進行爆破的工具。

IPCity.rar (MD5校驗值: 9223e3472e8ff9ddfa0d0dbad573d530) ：

此壓縮中包含三份文件，其中包括：GeoLiteCity.csv，用于標記國家。這份文件似乎是之前從Maxmind下載的，Maxmind是一家提供IP與地理經(jīng)緯度查詢數(shù)據(jù)庫的公司。

包內(nèi)還有一個ip_city.exe。此軟件可以用來把國家/城市轉(zhuǎn)換成IP段。

VUBrute 1.0.zip (MD5校驗碼: 01d12f4f2f0d3019756d83e94e3b564b) ：

這是一個密碼保護的ZIP文件，壓縮內(nèi)包含一款VNC爆破工具————VUBrute。這款工具在俄羅斯地下論壇十分流行。

logmein_checker.rar (MD5校驗值: 5843ae35bdeb4ca577054936c5c3944e) ：

壓縮包內(nèi)是Logmein Checker軟件. LogMeIn是一款流行的遠程接入軟件. 軟件包含一份用戶名/密碼列表和一份IP/端口列表，用于探測使用弱口令的LogMeIn。

portscan.rar (MD5校驗碼: 8b5436ca6e520d6942087bb38e97da65) – 包含KPortScan3.exe，是一款基本的端口掃描器. 軟件可以指定IP段和端口號。從C&C服務器上的信息來看，黑客用此工具掃描445, 3389, 5900等端口。黑客選擇這款軟件很可能是因為其易用性。

C&C服務器分析

通過進一步研究C&C（命令與控制）服務器，我們在http://143biz.cc.md-14.webhostbox.net發(fā)現(xiàn)了更多的文件總共有5個不同的惡意病毒樣本，最久的樣本可以追溯到2014年2月。樣本中還包括PoS惡意軟件如Alina。

我們還在服務器上發(fā)現(xiàn)了一個目錄: http://143biz.cc.md-14.webhostbox.net/something/login.php?p=Rome0

訪問這個目錄時我們沒有收到回應，于是我們開始尋找倍的網(wǎng)站中有沒有包含字段/something/login.php?p=Rome0的URL。我們的確發(fā)現(xiàn)了另外的URL： https://blog.-wordpress-catalog.com/something/login.php?p=Rome0。

觀察143.biz.cc.md-14.webhostbox.net與wordpress-catalog.com之間的聯(lián)系，我們在C&C服務器上發(fā)現(xiàn)一個目錄: http://143biz.cc.md-14.webhostbox.net/accounts.wordpress-catalog.com. 但訪問這些地址均無回應。

但當我們訪問根目錄是，我們發(fā)現(xiàn)了一個叫做something.zip (MD5校驗值: f9cbd1c3c48c873f3bff8c957ae280c7)的壓縮文件。這份文件包含的似乎是C&C服務器上的代碼，還有些包含用戶名和信用卡信息的文本文檔。

總結(jié)

盡管我們沒有在本貼中展示新工具，但研究黑客所使用的工具十分有趣。

我們列舉的這些軟件并不全，但這至少顯示黑客們使用的這些工具并不是非常先進，他們沒有重復造輪子，沒有開發(fā)新工具，僅僅使用這些工具就已經(jīng)足夠了。

我們相信這些信息會對管理員防范PoS攻擊很有幫助。

除了上文提到的，以下是我們在調(diào)查過程中參考的所有網(wǎng)址：

http://143biz.cc.md-14.webhostbox.net
https://biketools.ru/phpbb/showtopic.php
https://blog.wordpress-catalog.com/
https://cyberwise.biz/register/register.php
https://cyclingtools.ru/phpbb/showtopic.php
https://kitchentools.ru/phpbb/showtopic.php
https://verified-deal.com/register/register.php

揭秘：針對PoS機的惡意軟件工具箱

圖文推薦

同類資訊

同心同行，共筑美好未來｜2023年第七屆中國

建議收藏，2023年第七屆中國POS行業(yè)年會日

拓展發(fā)展渠道，洞悉局勢變化！新國都亮相第

不忘初心，引領(lǐng)行業(yè)創(chuàng)新驅(qū)動力|美印亮相第

推薦圖文

天波獲中國銀聯(lián)支付終端產(chǎn)品企業(yè)資質(zhì)認證證

客如云數(shù)智化解決方案，181萬+商家的選擇！

中國POS機網(wǎng)2024年春節(jié)放假通知

2023年第七屆中國POS行業(yè)年會，亮鉆與您攜

風起時，看風向！帶您看懂2023年中國POS行

河州味道客如云聯(lián)手推動臨夏美食數(shù)字化升級

您在本欄的歷史瀏覽

熱門資訊

中國POS機行業(yè)權(quán)威門戶網(wǎng)站引領(lǐng)行業(yè)發(fā)展

微信號:pos580com