استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3) +--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5) +--- موضوع: استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با (/showthread.php?tid=4407) |
استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با - hoboot - ۹۶/۱۰/۳۰ به تازگی از بدافزار Lockpose در دستگاههای کارتخوان به عنوان ترفندی جدید برای تخریب اطلاعات کارتهای اعتباری و تزریق آرام آن بوسیله باتنت Flokibot استفاده میشود.
LockPoS بدافزار دستگاههای پوز است که اطلاعات کارتهای اعتباری را تخریب و بهعنوان یک ترفند جدید برای تزریق آرام بدافزار توسط باتنت Flokibot استفاده میشود.
طبق اعلام شرکت Cyberbit (شرکتی است که سازمانهای پرخطر، شرکتهای تجاری و زیرساختهای حیاتی را در مقابل تهدیدات سایبری محافظت میکند) بدافزار LockPoS حافظه فرایندهای در حال اجرا را از سیستمهای کامپیوتری متصل به پایانههای PoS میخواند، اما در ظاهر به نظر میرسد که در حال جستجوی اطلاعات کارتهای اعتباری است. زمانیکه این بدافزار اطلاعاتی پیدا میکند آن را به command and control فرمان و کنترل (C & C) میفرستد. بدافزار LockPoS از همان باتنت Flokibot PoS برای توزیع خود استفاده کرده و به نظر میرسد ویژگیهای بیشتری را از کد قبلی آن به ارث برده است. این روش یک تکنیک تزریق بدافزار است که به آرامی کار کرده و از تنش با آنتیویروس اجتناب میکند.
بیشتر محصولات ضدویروس در نسلهای بعدی عملکرد ویندوز را در حالت کاربر نظارت خواهند کرد. اما در ویندوز10 فضای کرنل محافظتشده و امکان نظارت بر توابع هسته امکانپذیر نیست. بدافزار LockPoS مانند باتنت Flokibot، بهوسیله موتورهای شناسایی بدافزار بهروز شده است.
طبق ادعای Cyberbit، این رویکرد شامل ایجاد یک بخش امنیت در هسته ویندوز با استفاده از تابع NtCreateSection (یک تابع در API ویندوز Native بانام NtCreateSection وجود دارد. این تابع یک Object جدید ایجاد میکند که در منطقهای از حافظه مشترک بوده و برای نمایش چندین برنامه یا فرایند استفادهشده و میتوان از « views » برای به اشتراک گذاشتن دادههای مشابه در حافظه بدون پیمایش بر یکدیگر استفاده کرد. این تابع از هر دو فضای کاربر و حالت هسته قابلخواندن است) میباشد، همچنین میتواند با فراخوانی تابع NtMapViewOfSection برای نمایش بخشی از فرآیند دیگر، کپی کردن کد در آن بخش و درنهایت ایجاد یک فرمان از راه دور استفاده و از توابع NtCreateThreadEx یا CreateRemoteThread برای اجرای کد مورد نظر خود بهره ببرد.
Hod Gavriel تحلیلگر بدافزار در Cyberbit، در تحلیل فنی خود توضیح داد: "این روش جدید تزریق بدافزار نشان میدهد که این روند میتواند توسعهیافته و باعث ایجاد مشکلات تازهای شود." "در حال حاضر بهترین روش تشخیص بدافزار این است که با تجزیهوتحلیل در حافظه بر روی آن تمرکز شود، با توجه به اینکه این موضوع میتواند از روی حیله باشد، اما این بهترین ردیابی موجود است که در حال حاضر میتواند برای راهحلهای امنیتی قابلدسترس باشد."
|