شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .
باشگاه کاربران روماک
استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با - نسخه‌ی قابل چاپ

+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با (/showthread.php?tid=4407)



استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با - hoboot - ۹۶/۱۰/۳۰

به تازگی از بدافزار Lockpose در دستگاه‌های کارتخوان به عنوان ترفندی جدید برای تخریب اطلاعات کارت‌های اعتباری و تزریق آرام آن بوسیله بات‌نت Flokibot استفاده می‌شود.

[تصویر:  do.php?img=4241]


LockPoS بدافزار دستگاه‌های پوز است که اطلاعات کارت‌های اعتباری را تخریب و به‌عنوان یک ترفند جدید برای تزریق آرام بدافزار توسط بات‌نت Flokibot استفاده می‌شود.
طبق اعلام شرکت Cyberbit (شرکتی است که سازمان‌های پرخطر، شرکت‌های تجاری و زیرساخت‌های حیاتی را در مقابل تهدیدات سایبری محافظت می‌کند) بدافزار LockPoS حافظه فرایندهای در حال اجرا را از سیستم‌های کامپیوتری متصل به پایانه‌های PoS می‌خواند، اما در ظاهر به نظر می‌رسد که در حال جستجوی اطلاعات کارت‌های اعتباری است. زمانیکه این بدافزار اطلاعاتی پیدا می‌کند آن را به‌ command and control فرمان و کنترل (C & C) می‌فرستد. بدافزار LockPoS از همان بات‌نت Flokibot PoS برای توزیع خود استفاده کرده و به نظر می‌رسد ویژگی‌های بیشتری را از کد قبلی آن به ارث برده است. این روش یک تکنیک تزریق بدافزار است که به آرامی کار کرده و از تنش با آنتی‌ویروس اجتناب می‌کند.
بیشتر محصولات ضدویروس در نسل‌های بعدی عملکرد ویندوز را در حالت کاربر نظارت خواهند کرد. اما در ویندوز10 فضای کرنل محافظت‌شده و امکان نظارت بر توابع هسته امکان‌پذیر نیست. بدافزار LockPoS مانند بات‌نت Flokibot، به‌وسیله موتورهای شناسایی بدافزار به‌روز شده است.

طبق ادعای Cyberbit، این رویکرد شامل ایجاد یک بخش امنیت در هسته ویندوز با استفاده از تابع NtCreateSection (یک تابع در API ویندوز Native بانام NtCreateSection وجود دارد. این تابع یک Object جدید ایجاد می‌کند که در منطقه‌ای از حافظه مشترک بوده و برای نمایش چندین برنامه یا فرایند استفاده‌شده و می‌توان از « views » برای به اشتراک گذاشتن داده‌های مشابه در حافظه بدون پیمایش بر یکدیگر استفاده کرد. این تابع از هر دو فضای کاربر و حالت هسته قابل‌خواندن است) می‌باشد، همچنین می‌تواند با فراخوانی تابع NtMapViewOfSection برای نمایش بخشی از فرآیند دیگر، کپی کردن کد در آن بخش و درنهایت ایجاد یک فرمان از راه دور استفاده و از توابع NtCreateThreadEx یا CreateRemoteThread برای اجرای کد مورد نظر خود بهره ببرد.

Hod Gavriel تحلیلگر بدافزار در Cyberbit، در تحلیل فنی خود توضیح داد: "این روش جدید تزریق بدافزار نشان می‌دهد که این روند می‌تواند توسعه‌یافته و باعث ایجاد مشکلات تازه‌ای شود." "در حال حاضر بهترین روش تشخیص بدافزار این است که با تجزیه‌وتحلیل در حافظه بر روی آن تمرکز شود، با توجه به اینکه این موضوع می‌تواند از روی حیله باشد، اما این بهترین ردیابی موجود است که در حال حاضر می‌تواند برای راه‌حل‌های امنیتی قابل‌دسترس باشد."