網(wǎng)上有很多關(guān)于郵件審核pos機(jī),針對(duì)新型POS機(jī)惡意軟件Trojan.Win32.Alinaos的分析的知識(shí)，也有很多人為大家解答關(guān)于郵件審核pos機(jī)的問(wèn)題，今天pos機(jī)之家(www.dsth100338.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、郵件審核pos機(jī)

郵件審核pos機(jī)

譯者：eridanus96

預(yù)估稿費(fèi)：200RMB

投稿方式：發(fā)送郵件至linwei##，或登陸網(wǎng)頁(yè)版在線投稿

前言

日常生活中，當(dāng)我們刷卡后，POS機(jī)通常會(huì)保存我們的消費(fèi)記錄，其中就包含信用卡的信息。因此，POS機(jī)已經(jīng)成為了一個(gè)關(guān)鍵的系統(tǒng)，同時(shí)也日益成為網(wǎng)絡(luò)犯罪者的重要攻擊目標(biāo)。

如今在黑市上，有不少人都在通過(guò)售賣(mài)信用卡信息來(lái)賺取非法盈利。而在網(wǎng)絡(luò)中，針對(duì)POS終端進(jìn)行攻擊也相對(duì)簡(jiǎn)單。正因如此，我們需要關(guān)注POS機(jī)的安全。

近期，我們?cè)诿绹?guó)的大量酒吧和餐廳都發(fā)現(xiàn)了POS機(jī)惡意軟件。經(jīng)過(guò)分析，他們的POS終端是被信用卡信息竊取惡意軟件的兩個(gè)變種所感染。

本文中，我們要分析的惡意軟件如下：

分析過(guò)程

其中，Epson使用了一個(gè)無(wú)效的證書(shū)：

這兩個(gè)樣本都是使用Microsoft Visual C++ 8 編譯而成的，并且沒(méi)有經(jīng)過(guò)加殼或者加密。一旦惡意軟件在系統(tǒng)中運(yùn)行，它會(huì)自動(dòng)分析系統(tǒng)中不同的進(jìn)程，以搜索信用卡信息。

在這里，我們重點(diǎn)關(guān)注惡意軟件是通過(guò)哪些不同的方法，在內(nèi)存中尋找到包含信用卡信息的程序：

在“Epson.exe”樣本中，它會(huì)按照以下步驟搜索信用卡信息：

而另一個(gè)變種，“Wnhelp.exe”樣本中包含一個(gè)不進(jìn)行分析的進(jìn)程清單。如果進(jìn)程名稱符合表格中的任意一項(xiàng)，在搜索信用卡信息時(shí)就不會(huì)分析該進(jìn)程：

Wnhelp.exe不分析的進(jìn)程：

在這兩個(gè)樣本中，一旦發(fā)現(xiàn)需要對(duì)某個(gè)進(jìn)程進(jìn)行分析，將會(huì)創(chuàng)建一個(gè)新線程：

然后，惡意軟件將會(huì)使用專門(mén)設(shè)計(jì)的算法來(lái)分析內(nèi)存，以檢查所找到的數(shù)據(jù)是否屬于信用卡信息：

Wnhelp.exe樣本是由攻擊者通過(guò)“install”命令執(zhí)行的，該病毒會(huì)創(chuàng)建一個(gè)服務(wù)，以確保其在系統(tǒng)中能持續(xù)存在：

該服務(wù)的名稱為“Windows錯(cuò)誤報(bào)告服務(wù)日志”（Windows Error Reporting Service Log）。

樣本Epson.exe的工作方式與Wnhelp大體相同，但不同的是，攻擊者可以通過(guò)修改參數(shù)來(lái)配置服務(wù)的名稱：

install [服務(wù)名稱] [服務(wù)描述] [第三個(gè)參數(shù)]

這兩個(gè)變種，分別會(huì)連接到不同的C&C服務(wù)器：

Epson.exe：dropalien[.]com/wp-admin/gate1.php

Wnhelp.exe：www[.]rdvaer[.]com/wp-admin/gate1.php

在連接之后，它們可以接收到攻擊者的不同指令：

update = [URL] —— 通過(guò)指定URL，對(duì)惡意軟件進(jìn)行更新

dlex = [URL] —— 通過(guò)指定URL，下載并運(yùn)行程序

chk = [CRC校驗(yàn)值] —— 提供更新文件的CRC校驗(yàn)值

上述惡意軟件會(huì)使用如下代理：

“Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22”

惡意軟件與C&C主機(jī)的通信會(huì)通過(guò)SSL傳輸。并且，惡意軟件通過(guò)修改網(wǎng)絡(luò)連接配置，以避免產(chǎn)生“未知的證書(shū)頒發(fā)機(jī)構(gòu)”（Unknown CAs）安全警告，從而確保它能夠使用自己的證書(shū)。

首先，它通過(guò)InternetQueryOptionA API獲得網(wǎng)絡(luò)安全連接的標(biāo)志，并將第三個(gè)參數(shù)的值設(shè)置為“INTERNET_OPTION_SECURITY_FLAGS(31)”。一旦成功，它將會(huì)帶有“SECURITY_FLAG_IGNORE_UNKNOWN_CA (100h)”的標(biāo)志，就可以繼續(xù)執(zhí)行下一步操作。

如何防范POS攻擊

目前，針對(duì)POS的攻擊已經(jīng)十分流行，特別是在美國(guó)這樣沒(méi)有強(qiáng)制使用帶有芯片的信用卡和刷卡密碼的國(guó)家。并且，許多POS機(jī)的使用者并不掌握安全方面的技能，甚至對(duì)計(jì)算機(jī)都知之甚少，這便無(wú)形中提高了攻擊的成功幾率。

POS終端是處理關(guān)鍵數(shù)據(jù)的計(jì)算機(jī)，因此必須重視對(duì)于其安全的加強(qiáng)，從而保護(hù)客戶的數(shù)據(jù)免受泄露的風(fēng)險(xiǎn)。針對(duì)用戶，建議大家更換并使用帶有芯片的銀行卡，并且開(kāi)啟密碼驗(yàn)證功能。除此之外，使用一些自適應(yīng)防御的解決方案，也能有助于確保在終端中不會(huì)有惡意進(jìn)程運(yùn)行。

以上就是關(guān)于郵件審核pos機(jī),針對(duì)新型POS機(jī)惡意軟件Trojan.Win32.Alinaos的分析的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于郵件審核pos機(jī)的知識(shí)，希望能夠幫助到大家！