Diebold.Backdoor.Win32.Skimer.a — HackZona.Ru
Diebold.Backdoor.Win32.Skimer.a
Diebold.Backdoor.Win32.Skimer.a
Тип статьи:
Со старой ХакЗоны.
Источник:
основной исполняемый файл содержит троянский код, обрабатывающий магнитные карты с использованием незарегестрированных функций Diebold Agilis 91x, анализирует операции в различной валюте и похищает полученные данные. Затем данные могут печататься на чеке. Также есть уверенность в хищении PIN-кодов. В целом, есть подозрение в том, что код был написан человеком, хорошо знакомым с устройством банкоматов Diebold.Backdoor.Win32.Skimer.a (ЛК) не способен распространяться между компьютерами, поэтому также бытует мнение, что его «имплантируют» локально.
Если банкомат файловой системы NTFS, создаются файлы:
% WINDIR% greenstone.bmp: redstone.bmp
% WINDIR% greenstone.bmp: bluestone.bmp
В противном случае:
% WINDIR% redstone.bmp
% WINDIR% bluestone.bmp
Эти файлы создаются из этих копий файлов:
% WINDIR% trl2
% WINDIR% KL
затем корректируются привилегии до уровня «SeDebugPrivilege» и происходит 50 попыток прекратить процесс Lsass.exe.
Backdoor Устанавливает себя следующим образом:
извлекает полный путь к файлам в службе «LogWriter»
останавливает «LogWriter»
прибавляет в конце ":" и pwrstr.dll
кладёт PACKAGEINFO в [LogWriter_binary_filename]: pwrstr.dll
пуск службы «LogWriter» — запускает pwrstr.dll с новым ADS-именем
В конце прикрепляет к процессу explorer.exe новые потоки с вредоносным кодом, которые перечислены и удаляет все временные файлы Windows.
После активации, «сброшенная» DLL будет внедрять два потока: один будет выведен в процесс mu.exe, другой — в процесс SpiService.exe, основным сервисом ( «Diebold XFS службы») из ПО, которое работает на Diebold. Эти потоки будут отвечать за процесс связи с драйвером Diebold через pipe ".pipelsndbd".
Ещё один поток будет непрерывно вызывать API SQReceiveFromServer (), экспортируемой sharedq.dll, один раз в секунду. Содержимое буфера эта функция будет затем анализировать на наличие метки «TCS,» и «HST,».
Если какие-либо значения, указанные в этих тегах, присутствуют через разделитель ";", они будут извлечены и записаны в ADS% WINDIR% greenstone.bmp: redstone.bmp в NTFS, либо в файл % WINDIR% redstone.bmp на иной файловой системе.
Злоумышленник может воспользоваться любой из 10 возможных команд, вызывающих определённые действия, введя номер на клавиатуре банкомата.
Например, команда «2» будет читать версию установленного программного обеспечения из реестра:
HKLM SOFTWARE Diebold Agilis 91x Основные
HKLM SOFTWARE Diebold Agilis 91x
Затем эта команда будет читать содержимое временных файлов / ADS redstone.bmp и bluestone.bmp и подробности сделки из этих журналов. Наконец, она будет показывать окно сообщения с собранной статистикой:
Agilis [номер версии]
Агент [номер версии]
Сделки [количество]
Карты [количество]
KEYS [количество]
Для предотвращения последующих атак на банкоматы рекомендуется:
1. Централизованное автоматизированное обновление OS Windows на банкоматах
2. Централизованное автоматизированное обновление антивирусного ПО банкоматов
3. Обязательное использование софтовых профессиональных firewall-ов на банкоматах
Спасибо:
blog.threatexpert.com/2009/03/effect-of-credit-crunch-on-backdoors.html и www.sophos.com/security/blog/2009/03/3577.html.
Интересный факт — www.securitylab.ru/news/376519.php. Один в один и даже источник не указали.
Если банкомат файловой системы NTFS, создаются файлы:
% WINDIR% greenstone.bmp: redstone.bmp
% WINDIR% greenstone.bmp: bluestone.bmp
В противном случае:
% WINDIR% redstone.bmp
% WINDIR% bluestone.bmp
Эти файлы создаются из этих копий файлов:
% WINDIR% trl2
% WINDIR% KL
затем корректируются привилегии до уровня «SeDebugPrivilege» и происходит 50 попыток прекратить процесс Lsass.exe.
Backdoor Устанавливает себя следующим образом:
извлекает полный путь к файлам в службе «LogWriter»
останавливает «LogWriter»
прибавляет в конце ":" и pwrstr.dll
кладёт PACKAGEINFO в [LogWriter_binary_filename]: pwrstr.dll
пуск службы «LogWriter» — запускает pwrstr.dll с новым ADS-именем
В конце прикрепляет к процессу explorer.exe новые потоки с вредоносным кодом, которые перечислены и удаляет все временные файлы Windows.
После активации, «сброшенная» DLL будет внедрять два потока: один будет выведен в процесс mu.exe, другой — в процесс SpiService.exe, основным сервисом ( «Diebold XFS службы») из ПО, которое работает на Diebold. Эти потоки будут отвечать за процесс связи с драйвером Diebold через pipe ".pipelsndbd".
Ещё один поток будет непрерывно вызывать API SQReceiveFromServer (), экспортируемой sharedq.dll, один раз в секунду. Содержимое буфера эта функция будет затем анализировать на наличие метки «TCS,» и «HST,».
Если какие-либо значения, указанные в этих тегах, присутствуют через разделитель ";", они будут извлечены и записаны в ADS% WINDIR% greenstone.bmp: redstone.bmp в NTFS, либо в файл % WINDIR% redstone.bmp на иной файловой системе.
Злоумышленник может воспользоваться любой из 10 возможных команд, вызывающих определённые действия, введя номер на клавиатуре банкомата.
Например, команда «2» будет читать версию установленного программного обеспечения из реестра:
HKLM SOFTWARE Diebold Agilis 91x Основные
HKLM SOFTWARE Diebold Agilis 91x
Затем эта команда будет читать содержимое временных файлов / ADS redstone.bmp и bluestone.bmp и подробности сделки из этих журналов. Наконец, она будет показывать окно сообщения с собранной статистикой:
Agilis [номер версии]
Агент [номер версии]
Сделки [количество]
Карты [количество]
KEYS [количество]
Для предотвращения последующих атак на банкоматы рекомендуется:
1. Централизованное автоматизированное обновление OS Windows на банкоматах
2. Централизованное автоматизированное обновление антивирусного ПО банкоматов
3. Обязательное использование софтовых профессиональных firewall-ов на банкоматах
Спасибо:
blog.threatexpert.com/2009/03/effect-of-credit-crunch-on-backdoors.html и www.sophos.com/security/blog/2009/03/3577.html.
Интересный факт — www.securitylab.ru/news/376519.php. Один в один и даже источник не указали.
1 комментарий