新闻链接：929K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3M7%4m8W2j5$3W2S2L8q4)9J5c8U0f1J5y4o6b7H3i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2014-11-24
新闻正文：
最近两年，PoS恶意软件由于塔吉特、家得宝、Kmart遭遇的POS机攻击而被广泛关注。随着“黑色星期五”购物季的到来，PoS机恶意软件必定会受到关注。

PoS攻击者们不会仅仅依赖他们自己的恶意软件进行攻击、窃取受害者数据。他们还会用上大量其他的工具达到目的。有些是系统管理员也会用的如putty，还有些是微软提供的Sysinternals Suite工具包中的软件。

通过黑客们使用的这些工具我们可以更加了解他们的情况。

大多数PoS终端机都不安全

不幸的是，PoS终端和PoS环境基本都是不安全的。这给攻击者提供了极好的机会。黑客攻击PoS终端的方式多种多样，其中一种是通过VNC(Virtual Network Computing，虚拟网络计算)。

一般来说，PoS机要么无需用户名密码，要么使用弱口令。这给黑客们提供了极好的机会。

微软的远程桌面协议(RDP)也是PoS环境中的容易被黑客利用的工具。与VNC一样，RDP配置基本是无需密码或者是弱口令。

BackOff 工具包

今年年初，趋势科技发布了一篇报告详细说明各种针对PoS的恶意软件，其中就包括了著名的BackOff。2014年7月，BackOff开始流行起来并被广泛使用，主要是因为它能够自定义打包以混淆代码，使得研究人员难以逆向其代码。

BackOff会一直与命令与控制服务器(command-and-control, C&C)以传输获得的数据或者接收配置更新。除此之外，这些服务器会被用来与被入侵的设备传输工具软件。当攻击者要攻击多个设备时，他们会用这些服务器将恶意软件传输到PoS，以减少工作量。

在研究BackOff的过程中，一份特别的样本引起了我们的注意 – r0.exe。我们发现这个样本连接到了f77K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5@1x3$3u0A6P5W2)9J5k6h3y4U0i4K6u0W2L8h3c8Q4x3X3b7I4y4q4)9J5k6i4N6W2j5X3S2G2M7%4c8T1L8%4S2Q4x3X3g2F1k6i4c8Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1q4o6i4K6t1$3b7#2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4g2)9^5b7#2)9^5y4g2!0q4y4g2)9&6x3q4!0m8b7W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4g2!0m8y4q4!0m8y4#2!0q4z5g2)9^5y4#2)9^5c8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5b7#2)9^5y4g2!0q4y4W2)9^5b7W2!0m8b7#2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0n7y4#2!0m8y4g2!0q4y4g2)9^5y4g2!0n7y4#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7W2)9&6y4W2!0q4y4q4!0n7b7W2!0m8b7#2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7c8q4)9&6y4g2!0q4y4g2!0m8c8q4)9&6z5q4!0q4y4g2)9^5x3W2!0m8z5q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4y4#2!0m8c8q4)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4q4!0n7b7W2!0m8b7#2!0q4y4W2!0n7x3#2!0m8z5q4!0q4y4W2)9^5y4q4)9^5c8W2!0q4y4g2)9^5z5q4!0n7x3q4!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4g2)9^5y4g2!0m8y4g2!0q4y4q4!0n7c8g2!0n7y4g2m8G2f1#2!0q4y4W2)9&6b7#2!0n7b7g2!0q4y4g2)9&6x3q4)9^5c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7#2)9&6b7g2!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4z5q4!0n7c8W2)9&6c8g2!0q4y4q4!0n7z5q4!0n7x3W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0n7y4#2!0m8y4g2!0q4y4g2)9^5y4g2!0n7y4#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

服务器中有多个文件，我们会在下文中列举说明。这不是服务器文件的完整列表，但足以说明一些情况。

r0.exe (MD5校验值: 7a5580ddf2eb2fc4f4a0ea28c40f0da9)：

一份BackOff样本，编译于2014年10月22日。程序连接以下2个C&C服务器:
212K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3u0W2M7Y4N6A6M7$3g2Q4x3X3g2T1K9i4A6Q4x3V1k6J5k6h3N6A6M7%4c8W2M7W2)9J5c8Y4u0W2k6$3W2K6N6r3g2J5i4K6u0W2M7r3S2H3
069K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6$3k6i4u0A6k6X3W2W2k6q4)9J5k6r3c8W2j5h3I4Q4x3X3g2U0L8$3#2Q4x3V1k6J5k6h3N6A6M7%4c8W2M7W2)9J5c8Y4u0W2k6$3W2K6N6r3g2J5i4K6u0W2M7r3S2H3

r0.exe还会创建互斥体aMD6qt7lWb1N3TNBSe4N。

3-2.exe (MD5校验值: 0fb00a8ad217abe9d92a1faa397842dc)：

一份BackOff样本，编译于2014年10月22日，稍早于r0.exe。程序连接以下服务器:

c47K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8K9i4c8U0K9r3g2F1N6r3!0G2L8s2y4Q4x3X3g2J5N6g2)9J5c8Y4m8Z5M7r3u0T1i4K6u0r3M7$3S2G2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3

96fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3y4D9K9h3&6Y4N6r3!0G2L8s2y4Q4x3X3g2J5N6g2)9J5c8Y4m8Z5M7r3u0T1i4K6u0r3M7$3S2G2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3

3aaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1K9h3E0W2N6r3!0G2L8s2y4Q4x3X3g2J5N6g2)9J5c8Y4m8Z5M7r3u0T1i4K6u0r3M7$3S2G2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3

DK Brute priv8.rar (MD5校验值: 028c9a1619f96dbfd29ca64199f4acde) ：

此压缩包包含多个工具和文件，其中就包括SSH/telnet客户端putty.exe。还有UltraVNCViewerPortable.exe和WinSCP，这些工具都是被用来连接远程系统和传输文件的。

压缩包中还包括DK Brute.exe，这是一款调用字典对Windows RDP和其他远程连接协议进行爆破的工具。

IPCity.rar (MD5校验值: 9223e3472e8ff9ddfa0d0dbad573d530) ：

此压缩中包含三份文件，其中包括：GeoLiteCity.csv，用于标记国家。这份文件似乎是之前从Maxmind下载的，Maxmind是一家提供IP与地理经纬度查询数据库的公司。

包内还有一个ip_city.exe。此软件可以用来把国家/城市转换成IP段。

VUBrute 1.0.zip (MD5校验码: 01d12f4f2f0d3019756d83e94e3b564b) ：

这是一个密码保护的ZIP文件，压缩内包含一款VNC爆破工具————VUBrute。这款工具在俄罗斯地下论坛十分流行。

logmein_checker.rar (MD5校验值: 5843ae35bdeb4ca577054936c5c3944e) ：

压缩包内是Logmein Checker软件. LogMeIn是一款流行的远程接入软件. 软件包含一份用户名/密码列表和一份IP/端口列表，用于探测使用弱口令的LogMeIn。

portscan.rar (MD5校验码: 8b5436ca6e520d6942087bb38e97da65) – 包含KPortScan3.exe，是一款基本的端口扫描器. 软件可以指定IP段和端口号。从C&C服务器上的信息来看，黑客用此工具扫描445, 3389, 5900等端口。黑客选择这款软件很可能是因为其易用性。

C&C服务器分析

通过进一步研究C&C（命令与控制）服务器，我们在6b4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5@1x3$3u0A6P5W2)9J5k6h3y4U0i4K6u0W2L8h3c8Q4x3X3b7I4y4q4)9J5k6i4N6W2j5X3S2G2M7%4c8T1L8%4S2Q4x3X3g2F1k6i4c8Q4c8e0g2Q4z5p5k6Q4z5e0q4Q4c8e0N6Q4z5p5g2Q4b7U0m8Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0k6Q4z5f1u0Q4b7U0c8Q4c8e0g2Q4b7e0c8Q4z5f1q4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0k6Q4z5o6m8Q4b7V1u0Q4c8e0g2Q4z5o6g2Q4b7U0q4Q4c8e0k6Q4z5f1y4Q4z5o6V1#2i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1#2i4K6V1H3i4K6S2o6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1%4i4K6V1%4i4K6R3#2i4@1f1$3i4@1q4r3i4K6V1J5i4@1f1$3i4@1p5H3i4@1t1%4i4@1f1$3i4K6W2o6i4@1q4o6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1@1i4@1t1&6i4K6R3#2i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4@1p5H3i4@1t1%4i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1^5i4@1u0r3i4@1u0p5i4@1f1$3i4@1u0m8i4@1q4r3i4@1f1#2i4K6R3^5i4@1t1H3x3U0l9I4y4q4!0q4y4g2!0n7z5g2!0n7y4o6u0Q4c8e0k6Q4z5f1y4Q4z5o6S2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0S2Q4b7V1k6Q4z5e0S2Q4c8e0g2Q4z5p5y4Q4z5o6g2Q4c8e0k6Q4z5p5u0Q4b7f1y4b7L8#2y4Q4c8e0k6Q4z5o6q4Q4b7U0k6Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0S2Q4b7V1c8Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0g2Q4b7e0k6Q4z5o6u0m8L8r3W2F1j5g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

我们还在服务器上发现了一个目录: 81dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5@1x3$3u0A6P5W2)9J5k6h3y4U0i4K6u0W2L8h3c8Q4x3X3b7I4y4q4)9J5k6i4N6W2j5X3S2G2M7%4c8T1L8%4S2Q4x3X3g2F1k6i4c8Q4x3V1k6K6L8$3#2W2N6r3S2A6L8X3N6Q4x3V1k6D9L8$3N6A6L8W2)9J5k6i4m8Z5M7q4)9K6c8Y4m8Q4x3@1c8d9L8$3#2W2x3l9`.`.

访问这个目录时我们没有收到回应，于是我们开始寻找倍的网站中有没有包含字段/something/login.php?p=Rome0的URL。我们的确发现了另外的URL： f7dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2i4K6u0V1N6$3!0J5k6s2m8J5k6i4y4K6i4K6u0V1j5$3q4@1j5h3I4G2k6#2)9J5k6h3y4G2L8g2)9J5c8Y4y4G2L8h3g2@1K9r3W2F1k6#2)9J5c8X3I4G2k6$3W2F1i4K6u0W2M7r3S2H3i4K6y4r3M7q4)9K6c8q4u0G2L8h3f1H3i4@1f1K6i4K6R3H3i4K6R3J5

观察143.biz.cc.md-14.webhostbox.net与wordpress-catalog.com之间的联系，我们在C&C服务器上发现一个目录: f9fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5@1x3$3u0A6P5W2)9J5k6h3y4U0i4K6u0W2L8h3c8Q4x3X3b7I4y4q4)9J5k6i4N6W2j5X3S2G2M7%4c8T1L8%4S2Q4x3X3g2F1k6i4c8Q4x3V1k6S2j5$3y4G2N6h3&6@1M7#2)9J5k6i4N6G2M7X3c8H3M7X3g2K6M7#2)9J5k6r3y4S2N6r3q4D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3X3f1`. 但访问这些地址均无回应。

但当我们访问根目录是，我们发现了一个叫做something.zip (MD5校验值: f9cbd1c3c48c873f3bff8c957ae280c7)的压缩文件。 这份文件包含的似乎是C&C服务器上的代码，还有些包含用户名和信用卡信息的文本文档。

总结

尽管我们没有在本贴中展示新工具，但研究黑客所使用的工具十分有趣。

我们列举的这些软件并不全，但这至少显示黑客们使用的这些工具并不是非常先进，他们没有重复造轮子，没有开发新工具，仅仅使用这些工具就已经足够了。

我们相信这些信息会对管理员防范PoS攻击很有帮助。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！