شماره: IRCNE2014072253
تاريخ :93/4/22
امروزه روند رو به رشدي از حملات به داده هاي كارت هاي اعتباري از طريق آلوده سازي ترمينال هاي POS مشاهده مي گردد كه حدود يك سوم آنها بدليل استفاده از كلمات عبور پيش فرض نرم افزارهاي مديريت از راه دور مي باشد.
محققان شركت امنيتي FireEye بتازگي موفق به شناسايي بات نتي به نام BrutPOS شدند كه به طور خاص سعي در نفوذ به سيستمهايPOS ميكند. اين بدافزار با آلوده كردن هزاران سيستم و اسكن سرورهاي RDP كه داراي كلمات عبورضعيف يا پيش فرض هستند، سيستم هاي POS آسيب پذير را پيدا مي كند.
علت اين نامگذاري اين بدافزار، استفاده از حمله Brute force براي دسترسي به سيستمهاي POSبوده است. در يك حمله Brute force مهاجم با وارد كردن مجموعه اي از نام كاربري / رمز عبور هاي معمول و پيش فرض براي دسترسي به سيستم تلاش ميكند. اين بدافزار با استفاده از بات نتي از سيستم هاي آلوده شده، سرورهاي POS را اسكن مي كند و سپس با حمله Brute force به سيستم نفوذ مي كند.
بررسيهاي انجام شده روي سرور فرمان و كنترل (C2)بيانگر آن است كه بات نت BrutPOS مجموعا 5622 سيستم را آلوده كرده است. در مجموع، پنج سرور فرمان و كنترل براي BrutPOS شناسايي شده كه در حال حاضر دو مورد آنها هنوز فعال هستند.
بهترين راه محافظت سيستم هاي POS از اين بدافزار آن است كه مديران سيستم، رمزعبور هاي پيش فرض خود را تغييردهند. در ضمن پروتكل RDP (پروتكل دسكتاپ راه دور) كه بر روي پورت 3389 اجرا مي شود، بايستي تنها از سيستم ها مشخص و امن قابل دسترسي باشد. چون اين بدافزار به طور خاص از پروتكل RDP براي بدست آوردن دسترسي استفاده مي كند. بنابراين توجه كنيد كه دسترسي از طريق پورت 3389به ترمينال هاي POS از سيستم هاي غيرمديريتي اصلاً لازم نيست و دسترسي شبكه داخلي به آنها نيز بايستي كاملاً محدود گردد.
گزارش تحليلي در خصوص اين بدافزار در آينده منتشر خواهد شد.
- 3