شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 46 رأی - میانگین امتیازات: 2.98
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
در بدافزار کارتخوان دستگاه مخفی flokibot صفحه بات‌نت استفاده ماندن پوز lockpos از cyberbit برای

استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با
#1
به تازگی از بدافزار Lockpose در دستگاه‌های کارتخوان به عنوان ترفندی جدید برای تخریب اطلاعات کارت‌های اعتباری و تزریق آرام آن بوسیله بات‌نت Flokibot استفاده می‌شود.

[تصویر:  do.php?img=4241]


LockPoS بدافزار دستگاه‌های پوز است که اطلاعات کارت‌های اعتباری را تخریب و به‌عنوان یک ترفند جدید برای تزریق آرام بدافزار توسط بات‌نت Flokibot استفاده می‌شود.
طبق اعلام شرکت Cyberbit (شرکتی است که سازمان‌های پرخطر، شرکت‌های تجاری و زیرساخت‌های حیاتی را در مقابل تهدیدات سایبری محافظت می‌کند) بدافزار LockPoS حافظه فرایندهای در حال اجرا را از سیستم‌های کامپیوتری متصل به پایانه‌های PoS می‌خواند، اما در ظاهر به نظر می‌رسد که در حال جستجوی اطلاعات کارت‌های اعتباری است. زمانیکه این بدافزار اطلاعاتی پیدا می‌کند آن را به‌ command and control فرمان و کنترل (C & C) می‌فرستد. بدافزار LockPoS از همان بات‌نت Flokibot PoS برای توزیع خود استفاده کرده و به نظر می‌رسد ویژگی‌های بیشتری را از کد قبلی آن به ارث برده است. این روش یک تکنیک تزریق بدافزار است که به آرامی کار کرده و از تنش با آنتی‌ویروس اجتناب می‌کند.
بیشتر محصولات ضدویروس در نسل‌های بعدی عملکرد ویندوز را در حالت کاربر نظارت خواهند کرد. اما در ویندوز10 فضای کرنل محافظت‌شده و امکان نظارت بر توابع هسته امکان‌پذیر نیست. بدافزار LockPoS مانند بات‌نت Flokibot، به‌وسیله موتورهای شناسایی بدافزار به‌روز شده است.

طبق ادعای Cyberbit، این رویکرد شامل ایجاد یک بخش امنیت در هسته ویندوز با استفاده از تابع NtCreateSection (یک تابع در API ویندوز Native بانام NtCreateSection وجود دارد. این تابع یک Object جدید ایجاد می‌کند که در منطقه‌ای از حافظه مشترک بوده و برای نمایش چندین برنامه یا فرایند استفاده‌شده و می‌توان از « views » برای به اشتراک گذاشتن داده‌های مشابه در حافظه بدون پیمایش بر یکدیگر استفاده کرد. این تابع از هر دو فضای کاربر و حالت هسته قابل‌خواندن است) می‌باشد، همچنین می‌تواند با فراخوانی تابع NtMapViewOfSection برای نمایش بخشی از فرآیند دیگر، کپی کردن کد در آن بخش و درنهایت ایجاد یک فرمان از راه دور استفاده و از توابع NtCreateThreadEx یا CreateRemoteThread برای اجرای کد مورد نظر خود بهره ببرد.

Hod Gavriel تحلیلگر بدافزار در Cyberbit، در تحلیل فنی خود توضیح داد: "این روش جدید تزریق بدافزار نشان می‌دهد که این روند می‌تواند توسعه‌یافته و باعث ایجاد مشکلات تازه‌ای شود." "در حال حاضر بهترین روش تشخیص بدافزار این است که با تجزیه‌وتحلیل در حافظه بر روی آن تمرکز شود، با توجه به اینکه این موضوع می‌تواند از روی حیله باشد، اما این بهترین ردیابی موجود است که در حال حاضر می‌تواند برای راه‌حل‌های امنیتی قابل‌دسترس باشد."
پاسخ
 سپاس شده توسط سحر ، farnaz ، saman ، saberi


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  انتشار بدافزار Prowli ، مراقب ارز دیجیتالی Monero باشید farnaz 1 2,572 ۰۱/۴/۱۱، ۰۵:۲۰ عصر
آخرین ارسال: Canizales41
  استفاده از Web Font برای مخفی کردن حملات فیشینگ mesterweb 0 1,674 ۹۷/۱۱/۱، ۱۱:۱۸ صبح
آخرین ارسال: mesterweb
  بدافزار پیشرفته جاسوسی InvisiMole برای عبور از فایروال ویندوز و هک اطل hoboot 0 2,062 ۹۷/۳/۲۲، ۰۳:۴۷ صبح
آخرین ارسال: hoboot
  انتشار دو بدافزار مخرب جدید از گروه APT کشور کره شمالی hoboot 0 2,174 ۹۷/۳/۲۲، ۰۳:۳۶ صبح
آخرین ارسال: hoboot
  هشدار فوری درباره بدافزار VPNFilter saberi 0 1,353 ۹۷/۳/۷، ۰۵:۳۸ عصر
آخرین ارسال: saberi
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 1,476 ۹۷/۲/۲۶، ۰۵:۳۲ صبح
آخرین ارسال: saberi
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی soraya 0 1,761 ۹۷/۲/۱۷، ۰۷:۴۶ عصر
آخرین ارسال: soraya
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 1,870 ۹۷/۲/۲، ۱۲:۲۴ عصر
آخرین ارسال: KGasht
  گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم hoboot 0 1,906 ۹۷/۱/۳۱، ۰۶:۵۶ صبح
آخرین ارسال: hoboot
  رشد سریع بدافزار استخراج مجازی به نام Dofil mesterweb 0 1,668 ۹۷/۱/۲۵، ۰۲:۱۰ صبح
آخرین ارسال: mesterweb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان