網(wǎng)上有很多關(guān)于pos機(jī)裝木馬,賽門鐵克警示金融機(jī)構(gòu)應(yīng)警惕利用Odinaff木馬的高級金融攻擊的知識，也有很多人為大家解答關(guān)于pos機(jī)裝木馬的問題，今天pos機(jī)之家(m.afbey.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機(jī)裝木馬

pos機(jī)裝木馬

自 2016 年 1 月起，利用Trojan.Odinaff惡意軟件所進(jìn)行的網(wǎng)絡(luò)攻擊活動，已將全球眾多金融機(jī)構(gòu)作為攻擊目標(biāo)。這些攻擊主要集中在銀行、貿(mào)易和薪酬管理等領(lǐng)域的企業(yè)。同時，為這些企業(yè)提供支持的企業(yè)與機(jī)構(gòu)同樣面臨攻擊風(fēng)險。

Odinaff通常部署在攻擊活動的第一階段，目標(biāo)在于盡快占據(jù)網(wǎng)絡(luò)中的據(jù)點(diǎn)，進(jìn)而在目標(biāo)網(wǎng)絡(luò)中長期存在并安裝附加工具。值得一提的是，這些附加工具均具備Carbanak高級攻擊組織的攻擊特征。Carbanak惡意軟件從2013年就已將金融行業(yè)作為攻擊目標(biāo)。此次Odinaff的新一輪攻擊同樣使用了Carbanak活動中曾使用過的部分基礎(chǔ)設(shè)施。

Odinaff攻擊需要大量的手動操作，并在目標(biāo)計算機(jī)的系統(tǒng)中部署大量輕量級后門病毒和用于特定目的的工具。攻擊期間，攻擊者需要對這些工具進(jìn)行大量的協(xié)調(diào)、開發(fā)、部署和操作等。與此同時，定制化惡意軟件工具同樣會部署于計算機(jī)系統(tǒng)中，例如專門用于秘密通信 (Backdoor.Batel)、發(fā)現(xiàn)網(wǎng)絡(luò)、盜取證書和監(jiān)控員工等活動。

盡管這類針對銀行的攻擊難以實施，但回報十分可觀，由Carbanak組織發(fā)起的網(wǎng)絡(luò)攻擊所造成的總損失高達(dá)數(shù)千萬，甚至上億萬美元。

全球威脅

賽門鐵克安全團(tuán)隊發(fā)現(xiàn)Odinaff攻擊活動從 2016 年 1 月便已出現(xiàn)，并對多個國家地區(qū)的企業(yè)展開攻擊。其中，美國是主要受到攻擊的國家，其他主要攻擊目標(biāo)依次為中國香港、澳大利亞、英國和烏克蘭。

圖 1.Odinaff的攻擊行業(yè)分布圖

賽門鐵克安全團(tuán)隊在深入了解遭遇攻擊的企業(yè)業(yè)務(wù)本質(zhì)后發(fā)現(xiàn)，金融機(jī)構(gòu)是受到攻擊最嚴(yán)重的行業(yè)，占攻擊數(shù)量的34%。與此同時，部分攻擊將安全、司法、醫(yī)療、政府及政府服務(wù)等行業(yè)作為攻擊目標(biāo)。賽門鐵克尚未了解此類攻擊是否出于牟利動機(jī)。

大約60%的攻擊目標(biāo)行業(yè)尚未清晰識別，但賽門鐵克發(fā)現(xiàn)，主要遭遇攻擊的電腦都曾運(yùn)行金融類軟件應(yīng)用，這意味著，此類攻擊背后以金融目標(biāo)為導(dǎo)向。

攻擊方法

Odinaff攻擊者利用多種手段入侵目標(biāo)企業(yè)的網(wǎng)絡(luò)，其中最常見的方法便是通過含有惡意宏病毒的誘惑性文檔感染目標(biāo)企業(yè)。如果接收者選擇啟用宏，該病毒便會在計算機(jī)上安裝Odinaff 木馬。

圖 2.含有Word宏啟用方式指令的誘惑性文檔

為了誘使受害者在計算機(jī)中安裝Odinaff，攻擊者還會使用受密碼保護(hù)的RAR 文件進(jìn)行攻擊。盡管尚未清楚這些惡意文檔或鏈接的傳播方式，但賽門鐵克安全團(tuán)隊認(rèn)為，此類文檔或鏈接極有可能通過魚叉式網(wǎng)絡(luò)釣魚電子郵件來實現(xiàn)傳播。

此外，Trojan.Odinaff還可通過僵尸網(wǎng)絡(luò)進(jìn)行傳播。該木馬能夠植入到已感染其他惡意軟件的計算機(jī)中，例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula)）。Andromeda 惡意軟件是被植入木馬的AmmyyAdmin安裝程序。AmmyyAdmin是一種合法的遠(yuǎn)程管理工具，該安裝程序可從官方網(wǎng)站進(jìn)行下載，但官方網(wǎng)站最近頻遭攻擊，已被植入許多不同的惡意軟件。

惡意軟件工具包

Odinaff是一種相對輕量級的后門木馬，能夠連接到遠(yuǎn)程主機(jī)，并每五分鐘尋求一次命令。Odinaff具有兩項主要功能：下載 RC4 加密文件并執(zhí)行；發(fā)布shell命令，并將這些命令寫入批處理文件中并執(zhí)行。

鑒于攻擊的專業(yè)程度，攻擊者需要實施大量的手動干預(yù)。因此，Odinaff組織始終謹(jǐn)慎管理攻擊活動，盡量在企業(yè)網(wǎng)絡(luò)中保持低調(diào)，并僅在需要時下載和安裝新工具。

攻擊者主要利用Trojan.Odinaff實施初期入侵，并輔助其他工具完成攻擊。他們所使用的另一種惡意軟件被稱為Batle(Backdoor.Batel)，主要用于對目標(biāo)計算機(jī)實施攻擊。它能夠完全在內(nèi)存中運(yùn)行負(fù)載，因此可秘密隱藏于受感染的計算機(jī)中。

攻擊者通過使用大量不同的輕量黑客工具和合法軟件工具入侵目標(biāo)網(wǎng)絡(luò)并識別關(guān)鍵計算機(jī)。這些工具包括：

·Mimikatz：一種開源密碼恢復(fù)工具·PsExec：一種來自SysInternals的流程執(zhí)行工具·Netscan：一種網(wǎng)絡(luò)掃描工具·Ammyy Admin (Remacc.Ammyy)和Remote Manipulator System變體 (Backdoor.Gussdoor)·Runas：一種可使用其他用戶身份運(yùn)行流程的工具?！owerShell

此外，該攻擊組織很可能已經(jīng)開發(fā)出用于入侵特定計算機(jī)的惡意軟件。這些工具的創(chuàng)建時間與部署時間非常接近。這些工具中，含有每間隔5-30秒便可捕獲屏幕截圖的組件。

針對SWIFT用戶的攻擊證據(jù)

賽門鐵克安全團(tuán)隊已經(jīng)掌握Odinaff組織針對SWIFT用戶進(jìn)行攻擊的證據(jù) ——使用惡意軟件隱藏與欺詐交易相關(guān)的 SWIFT用戶信息。同時使用工具監(jiān)控SWIFT用戶的本地信息日志，并搜索與特定交易相關(guān)的關(guān)鍵詞。不僅如此，攻擊者還會將這些日志從用戶本地的SWIFT軟件環(huán)境中移出。目前，尚無跡象表明SWIFT網(wǎng)絡(luò)已感染病毒。

“suppressor”組件是寫入 C 盤的小型可執(zhí)行文件，主要用于監(jiān)控包含特定文本字符串文件的特定文件夾。賽門鐵克發(fā)現(xiàn)，這些字符串均提及日期與特定的國際銀行賬號 (IBAN) 。這些系統(tǒng)中的文件夾結(jié)構(gòu)大部分為用戶定義和專有。這表明，每個可執(zhí)行文件都專門面向一個目標(biāo)系統(tǒng)。

在與suppressor共同發(fā)現(xiàn)的文件中，其中包括一個可覆蓋硬盤前 512B 數(shù)據(jù)的小型磁盤格式化工具。該工具包含主引導(dǎo)記錄 (MBR)，攻擊者無需使用特殊工具便可訪問硬盤。賽門鐵克認(rèn)為，每當(dāng)攻擊者棄用系統(tǒng)或阻止調(diào)查時，便會使用該工具掩蓋其行蹤。

繼Lazarus組織搶劫孟加拉國央行之后，Odinaff攻擊已經(jīng)成為另一組織從事此類攻擊活動的一大案例。Odinaff攻擊與Lazarus的SWIFT攻擊無明顯聯(lián)系，且Odinaff團(tuán)伙所使用的SWIFT惡意軟件與 Lazarus相關(guān)攻擊使用的惡意軟件Trojan.Banswift無任何相似性。

與 Carbanak的潛在聯(lián)系

賽門鐵克發(fā)現(xiàn)Odinaff相關(guān)攻擊與Carbanak組織存在某種聯(lián)系。Carbanak組織的攻擊活動于 2014年年底為公眾所知，該組織擅長對金融機(jī)構(gòu)發(fā)起高價值攻擊，并涉及多起針對銀行的攻擊和銷售點(diǎn)(PoS)入侵攻擊。

除了相似的作案手法外，Odinaff 和 Carbanak之間同樣存在許多其他關(guān)聯(lián)：

·3個命令和控制 (C&C) IP地址都與之前暴露的Carbanak活動有關(guān)；·Odinaff使用的其中一個IP地址與Carbanak組織造成的Oracle MICROS數(shù)據(jù)泄露事件有關(guān)；·Backdoor.Batel曾多次出現(xiàn)在Carbanak的相關(guān)攻擊活動中。

盡管Carbanak所使用的主要木馬 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)從未在Odinaff的攻擊活動中被發(fā)現(xiàn)，但賽門鐵克安全團(tuán)隊仍然認(rèn)為，該組織使用了多種隱蔽傳播方法來入侵金融機(jī)構(gòu)。

雖然 Odinaff可能從屬于更大的攻擊組織，但基礎(chǔ)設(shè)施的交叉并不具有典型性。因此它也有可能是一個相似的組織或攻擊團(tuán)體。

銀行面臨嚴(yán)重威脅

Odinaff 攻擊的發(fā)現(xiàn)表明，銀行面臨的攻擊風(fēng)險正在不斷加大。在過去幾年間，網(wǎng)絡(luò)攻擊者已經(jīng)對銀行所使用的內(nèi)部金融系統(tǒng)進(jìn)行深入了解，獲知銀行內(nèi)部所采用的多種系統(tǒng)，并投入大量時間研究運(yùn)行原理和員工的操作方式。由于某些攻擊組織具有較高的專業(yè)技術(shù)水平，賽門鐵克認(rèn)為，任何被列入潛在攻擊目標(biāo)的企業(yè)與機(jī)構(gòu)都面臨著重大的安全威脅。

賽門鐵克安全防護(hù)

賽門鐵克和諾頓產(chǎn)品可檢測出以下威脅：

防病毒程序

·Trojan.Odinaff·Trojan.Odinaff!g1·Trojan.Odinaff!gm·Backdoor.Batel·Remacc.Ammyy·Backdoor.Gussdoor

入侵防御系統(tǒng)

·受感染的系統(tǒng)：Trojan.Odinaff 活動

Bluecoat

Bluecoat產(chǎn)品能夠：

·攔截違規(guī)網(wǎng)絡(luò)流量·檢測并攔截使用Backdoor.Batel & Trojan. Odinaff的惡意軟件

以上就是關(guān)于pos機(jī)裝木馬,賽門鐵克警示金融機(jī)構(gòu)應(yīng)警惕利用Odinaff木馬的高級金融攻擊的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機(jī)裝木馬的知識，希望能夠幫助到大家！