警惕!新型恶意软件,攻击者可窃取POS餐馆资料

通过郭盛华老师

警惕!新型恶意软件,攻击者可窃取POS餐馆资料

网络安全研究人员今天披露了一种新型的模块化后门程序,该后门程序针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。

后门称为“ ModPipe”,影响Oracle MICROS饭店企业系列(RES)3700 POS系统,这是饭店和酒店业广泛使用的软件套件,可以有效地处理POS,库存和人工管理。大部分已确定的目标主要位于美国。

ESET研究人员在分析中说:“使后门程序与众不同的是它的可下载模块及其功能,因为它包含一个自定义算法,旨在通过从Windows注册表值解密来收集RES 3700 POS数据库密码。

“经过筛选的凭据使ModPipe的操作员可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。”

值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击背后的参与者可能拥有第二个可下载模块解密数据库的内容。

ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“可下载”模块以及命令和控制( C2)服务器通过独立的网络模块。

可下载模块中的主要组件包括“ GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用获得的加密实现细节来实现该功能在2016年Oracle MICROS POS部门发生数据泄露之后。

第二个模块称为“ ModScan 2.20”,用于收集有关已安装的POS系统的其他信息(例如,版本,数据库服务器数据),而另一个名为“ Proclist”的模块则收集有关当前正在运行的进程的详细信息。

​研究人员说:“ ModPipe的体系结构,模块及其功能也表明其编写者对目标RES 3700 POS软件具有广泛的了解。” “运营商的熟练程度可能来自多种情况,包括窃取专有软件产品并对其进行反向工程,滥用其泄漏的零件或从地下市场购买代码。”

建议使用RES 3700 POS的酒店行业的企业更新到该软件的最新版本,并使用运行底层操作系统更新版本的设备。

来源:郭盛华博客,转载请注明出处

关于作者

郭盛华老师 administrator

黑客防御、网络安全、开发各类系统、想学技术的朋友,可加QQ/微信 1602007,微信公众号:郭盛华