BlackPOS Вредоносное ПО - BlackPOS Malware

BlackPOS или Межпроцессного взаимодействия вредоносное ПО - это разновидность вредоносное ПО в точках продаж или шпионское ПО программа, специально разработанная для установки в торговая точка (POS) систему в очистить данные из дебет и кредитные карты.[1][2] Это сильно отличается от обычного вредоносное ПО, очищающее память который очищает все данные и требует фильтров для извлечения целевых данных. Это специально перехватывает информацию о дорожке, поэтому это называется перехватчиком межпроцессного взаимодействия. После установки эта вредоносная программа ищет файл pos.exe в системе и анализирует содержимое дорожек 1 и данных финансовых карт 2.[3][4] Затем закодированные данные перемещаются на вторую машину через SMB[требуется разъяснение ]. BlackPOS использовался в Нарушение данных Target Corporation 2013 г.[5][6]

История

Программа BlackPOS впервые появилась в начале 2013 года и затронула многие австралийские, американские и канадские компании, такие как Цель и Маркус Нейман, которые внедрили в свои компании системы точек продаж. Вирус, также известный как Reedum или KAPTOXA, был первоначально создан 23-летним Ринатом Шабаевым, а затем разработан 17-летним Сергеем Тарасповым, более известным под своим онлайн-именем «ree4». Первоначальная версия BlackPOS была продана Тарасповым на онлайн-форумах черного рынка примерно за 2000 долларов, но стала дешевле и более доступной после того, как исходный код вредоносной программы просочился в Интернет.[7][8][9][10]

Как это устроено

BlackPOS заражает компьютеры, работающие на Операционные системы Windows которые имеют подключенные к ним устройства чтения кредитных карт и являются частью POS-системы.[11] Компьютеры POS-системы могут быть легко заражены, если на них не установлены самые современные операционные системы и антивирусные программы для предотвращения нарушений безопасности, или если системы компьютерных баз данных имеют слабые учетные данные администратора. BlackPOS - это стандарт вредоносное ПО, очищающее память, за исключением того, что вирус ограничивается только файлами pos.exe в зараженной POS-системе.[12] После заражения нужной POS-системы вредоносная программа определяет процесс, связанный с устройством считывания карт, и крадет данные дорожек 1 и 2 платежной карты, информацию, хранящуюся на магнитной полосе платежных карт, из памяти своей системы.[11][13] После кражи информация может быть скопирована на пустые кредитные карты для продажи на черном рынке или использования в личных целях.[7] Это приводит к компрометации личной информации потребителя и ее использования любым лицом, имеющим доступ к информации. В отличие от других вредоносных программ для POS, таких как vSkimmer, BlackPOS не имеет автономного метода извлечения данных, так как захваченная информация загружается на удаленный сервер онлайн. Это упрощает работу хакеров, поскольку им не нужно находиться в непосредственной близости от зараженных систем для получения информации о потребителях.[10][11] Кроме того, хакеры могут попытаться скрыть вирус от обнаружения, запрограммировав BlackPOS на отправку украденной информации только в определенные периоды времени. Поступая таким образом, они могут замаскировать трафик, создаваемый информацией в обычное рабочее время, создавая впечатление, будто ничего подозрительного не происходит.[14]

Инциденты

BlackPOS использовался для кражи информации о клиентах у компаний по всему миру. Самая известная атака произошла еще в 2013 году на сеть мегамагазинов Target.

Цель

Во время перерыва в День Благодарения в ноябре 2013 г. Цель POS-система России была заражена вредоносным ПО BlackPOS. Только в середине декабря мегамагазин узнал о взломе своей системы безопасности. Хакеры смогли проникнуть в системы Target, взломав веб-сервер компании и загрузив программное обеспечение BlackPOS в POS-системы Target. В результате этой атаки с его мэйнфреймов было украдено более 40 миллионов данных о кредитных и дебетовых картах клиентов, а также более 70 миллионов адресов, номеров телефонов, имен и другой личной информации. В конечном итоге атаке вредоносного ПО подверглись около 1800 магазинов US Target.[15]

Нейман Маркус

Однако Target - не единственный бизнес, затронутый этим программным обеспечением. Пострадал и другой известный ритейлер Neiman Marcus. Их компьютерная база данных была заражена в начале июля 2013 года и не содержалась полностью до января 2014 года. Предполагается, что нарушение затронуло 1,1 миллиона кредитных и дебетовых карт в течение нескольких месяцев. Хотя данные кредитной и дебетовой карты были скомпрометированы, Нейман Маркус выступил с заявлением, в котором говорилось, что Номера социального страхования и даты рождения, среди прочего, не пострадали.[16][17] Такие компании, как UPS, Wendy's и Home Depot, также утверждали, что пострадали от BlackPOS, хотя были сообщения о том, что нарушения не были вызваны вредоносным вирусом.[18][19]

Обнаружение

Существует два способа обнаружения активности BlackPOS в POS-системах в зависимости от того, как работает вредоносная программа:[20]

  • идентификация передачи закодированных данных трека через блок сообщений сервера (SMB)
  • распознавание попыток записи SMB в фиксированное место сброса

Передача закодированных данных трека

Первая стратегия обнаружения BlackPOS использует тот факт, что первые 15 символов украденных данных трека всегда состоят из цифр. В результате существует только ограниченное количество комбинаций, которые могут быть созданы, а это означает, что существует предсказуемый шаблон, которому можно следовать. Кроме того, выходные данные кодирования от «000» до «999» приводят к строке, которая всегда начинается: «M1», «Mf», «Mh», «Ml», «T1», «Tf», «Th», «Тл», «ш» или «сл».[20]

SMB записывает в место размещения

Второй способ определить сетевую активность BlackPOS - перетащить файл в определенное место с использованием фиксированного формата имени файла. Пример, приведенный «Security Intelligence», проверяет, имеет ли файл путь и имя, которые соответствуют формату, указанному ниже: WINDOWS twain_32 * _ * _ * _ *. Txt. Стратегию можно продемонстрировать с помощью следующего правила OpenSignature : alert tcp any -> any 445 (msg: «Обнаружена запись в файл KAPTOXA»; поток: to_server, установлен; содержимое: «SMB | A2 |»; содержимое: « | 00 | W | 00 | I | 00 | N | 00 | D | 00 | O | 00 | W | 00 | S | 00 | | 00 | t | 00 | w | 00 | a | 00 | i | 00 | n | 00 | _ | 00 | 3 | 00 | 2 | 00 | "; pcre:" /.*_.*_.*_.* . | 00 | t | 00 | x | 00 | t / "; sid: 1;)[20]

Профилактика

Согласно Совету безопасности PCI, предприятия должны регулярно обновлять свое программное обеспечение для предотвращения вредоносных программ, чтобы снизить вероятность заражения. Кроме того, системные журналы следует регулярно проверять на предмет нерегулярной активности на серверах, а также отслеживать большие файлы данных, отправляемые в неизвестные источники. Компаниям также следует требовать регулярного обновления всех учетных данных и предоставлять инструкции по созданию более безопасных и надежных паролей.[11][13][18]

Смотрите также

Рекомендации

  1. ^ «Что такое вредоносное ПО BlackPOS»
  2. ^ «Первый взгляд на целевое вторжение, вредоносное ПО BlackPOS»
  3. ^ «Обзор вредоносного ПО в точках продаж»
  4. ^ «Повторное обнаружение вредоносного ПО для торговых точек»
  5. ^ «BlackPOS участвует в POS-машинах Target»
  6. ^ «Выявлено вредоносное ПО, стоящее за кражами целевых кредитных карт»
  7. ^ а б «Первый взгляд на целевое вторжение, вредоносное ПО - Кребс о безопасности». krebsonsecurity.com. Получено 2016-11-05.
  8. ^ Кумар, Мохит. «23-летний русский хакер признался, что является автором вредоносного ПО BlackPOS». Хакерские новости. Получено 2016-11-05.
  9. ^ "Компромисс в торговых точках KAPTOXA". docplayer.net. Получено 2016-11-05.
  10. ^ а б «Исследователи обнаружили новое вредоносное ПО для точек продаж под названием BlackPOS». PCWorld. Получено 2016-11-05.
  11. ^ а б c d Солнце, Боуэн. "Обзор вредоносного ПО для точек продаж (POS)". www.cse.wustl.edu. Получено 2016-11-05.
  12. ^ Маршалек, Марион; Кимайонг, Пол; Гонг, Фэнминь. «Еще раз о вредоносном ПО для торговых точек» (PDF). Архивировано из оригинал (PDF) на 2014-12-22. Получено 2016-10-28.
  13. ^ а б «Новое вредоносное ПО для BlackPOS появляется в дикой природе, нацелено на розничные аккаунты - блог TrendLabs Security Intelligence». Блог TrendLabs Security Intelligence. 2014-08-29. Получено 2016-11-05.
  14. ^ «Эволюция вредоносного ПО BlackPOS». Сообщество Hewlett Packard Enterprise. 2014-01-31. Получено 2016-11-05.
  15. ^ Мэтлак, Майкл Райли MichaelRileyDC Бенджамин Элгин Дюн Лоуренс ДюнЛоуренс Кэрол (2014-03-17). «Пропущенные сигналы тревоги и 40 миллионов украденных номеров кредитных карт: как Target взорвала это». Bloomberg.com. Получено 2016-11-05.
  16. ^ «Утверждается, что утечка данных Neiman Marcus началась в июле и не была полностью локализована до воскресенья | Бизнес | Новости Далласа». Даллас Новости. 2014-01-16. Получено 2016-11-05.
  17. ^ Перлрот, Элизабет А. Харрис, Николь; Поппер, Натаниэль (23 января 2014). "Взлом данных Неймана Маркуса хуже, чем предполагалось". Нью-Йорк Таймс. ISSN  0362-4331. Получено 2016-11-05.
  18. ^ а б "Системы точек продаж розничных продавцов Backoff и BlackPOS Malware Breach". www.wolfssl.com. Получено 2016-11-05.
  19. ^ «Эксклюзив: больше известных американских ритейлеров, пострадавших от кибератак - источники». Рейтер. 2017-01-12. Получено 2016-11-05.
  20. ^ а б c «Эпидемия вредоносного ПО для терминалов продаж: самые опасные уязвимости и вредоносное ПО». Разведка безопасности. 2015-06-19. Получено 2016-11-05.