網(wǎng)上有很多關(guān)于郵件審核pos機,針對新型POS機惡意軟件Trojan.Win32.Alinaos的分析的知識，也有很多人為大家解答關(guān)于郵件審核pos機的問題，今天pos機之家(m.afbey.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、郵件審核pos機

郵件審核pos機

譯者：eridanus96

預估稿費：200RMB

投稿方式：發(fā)送郵件至linwei##，或登陸網(wǎng)頁版在線投稿

前言

日常生活中，當我們刷卡后，POS機通常會保存我們的消費記錄，其中就包含信用卡的信息。因此，POS機已經(jīng)成為了一個關(guān)鍵的系統(tǒng)，同時也日益成為網(wǎng)絡犯罪者的重要攻擊目標。

如今在黑市上，有不少人都在通過售賣信用卡信息來賺取非法盈利。而在網(wǎng)絡中，針對POS終端進行攻擊也相對簡單。正因如此，我們需要關(guān)注POS機的安全。

近期，我們在美國的大量酒吧和餐廳都發(fā)現(xiàn)了POS機惡意軟件。經(jīng)過分析，他們的POS終端是被信用卡信息竊取惡意軟件的兩個變種所感染。

本文中，我們要分析的惡意軟件如下：

分析過程

其中，Epson使用了一個無效的證書：

這兩個樣本都是使用Microsoft Visual C++ 8 編譯而成的，并且沒有經(jīng)過加殼或者加密。一旦惡意軟件在系統(tǒng)中運行，它會自動分析系統(tǒng)中不同的進程，以搜索信用卡信息。

在這里，我們重點關(guān)注惡意軟件是通過哪些不同的方法，在內(nèi)存中尋找到包含信用卡信息的程序：

在“Epson.exe”樣本中，它會按照以下步驟搜索信用卡信息：

而另一個變種，“Wnhelp.exe”樣本中包含一個不進行分析的進程清單。如果進程名稱符合表格中的任意一項，在搜索信用卡信息時就不會分析該進程：

Wnhelp.exe不分析的進程：

在這兩個樣本中，一旦發(fā)現(xiàn)需要對某個進程進行分析，將會創(chuàng)建一個新線程：

然后，惡意軟件將會使用專門設計的算法來分析內(nèi)存，以檢查所找到的數(shù)據(jù)是否屬于信用卡信息：

Wnhelp.exe樣本是由攻擊者通過“install”命令執(zhí)行的，該病毒會創(chuàng)建一個服務，以確保其在系統(tǒng)中能持續(xù)存在：

該服務的名稱為“Windows錯誤報告服務日志”（Windows Error Reporting Service Log）。

樣本Epson.exe的工作方式與Wnhelp大體相同，但不同的是，攻擊者可以通過修改參數(shù)來配置服務的名稱：

install [服務名稱] [服務描述] [第三個參數(shù)]

這兩個變種，分別會連接到不同的C&C服務器：

Epson.exe：dropalien[.]com/wp-admin/gate1.php

Wnhelp.exe：www[.]rdvaer[.]com/wp-admin/gate1.php

在連接之后，它們可以接收到攻擊者的不同指令：

update = [URL] —— 通過指定URL，對惡意軟件進行更新

dlex = [URL] —— 通過指定URL，下載并運行程序

chk = [CRC校驗值] —— 提供更新文件的CRC校驗值

上述惡意軟件會使用如下代理：

“Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22”

惡意軟件與C&C主機的通信會通過SSL傳輸。并且，惡意軟件通過修改網(wǎng)絡連接配置，以避免產(chǎn)生“未知的證書頒發(fā)機構(gòu)”（Unknown CAs）安全警告，從而確保它能夠使用自己的證書。

首先，它通過InternetQueryOptionA API獲得網(wǎng)絡安全連接的標志，并將第三個參數(shù)的值設置為“INTERNET_OPTION_SECURITY_FLAGS(31)”。一旦成功，它將會帶有“SECURITY_FLAG_IGNORE_UNKNOWN_CA (100h)”的標志，就可以繼續(xù)執(zhí)行下一步操作。

如何防范POS攻擊

目前，針對POS的攻擊已經(jīng)十分流行，特別是在美國這樣沒有強制使用帶有芯片的信用卡和刷卡密碼的國家。并且，許多POS機的使用者并不掌握安全方面的技能，甚至對計算機都知之甚少，這便無形中提高了攻擊的成功幾率。

POS終端是處理關(guān)鍵數(shù)據(jù)的計算機，因此必須重視對于其安全的加強，從而保護客戶的數(shù)據(jù)免受泄露的風險。針對用戶，建議大家更換并使用帶有芯片的銀行卡，并且開啟密碼驗證功能。除此之外，使用一些自適應防御的解決方案，也能有助于確保在終端中不會有惡意進程運行。

以上就是關(guān)于郵件審核pos機,針對新型POS機惡意軟件Trojan.Win32.Alinaos的分析的知識，后面我們會繼續(xù)為大家整理關(guān)于郵件審核pos機的知識，希望能夠幫助到大家！