🉑 👩‍👧‍👧 👩🏻‍✈️ ModPOS-特洛伊木马出售 🕵🏿 ♠️ 🕢

欢迎来到iCover博客页面上的读者！如您所知，零售商在大型存货天的销售量正在按数量级增长。正是在这些日子里，黑客才有机会测试最有希望的类型的网络武器，这些网络武器是为在最“野外”条件下主动重新分配现金流而创建的。一群病毒分析家iSight Partners告诉我们，正是这种恶意软件-新的ModPOS Trojan，或更确切地说是被美国和东欧的零售商监禁的最新版本。亲爱的读者，这只野兽值得“提前”学习。

正如您可能从特洛伊木马的名字中猜到的那样，ModPOS的目的是POS终端，或者说是大型零售商的终端。这是一个具有自己独特历史的木马。长期以来，ModPOS一直在躲避任何现有的防病毒软件，并且在销售期间一直处于活跃状态。

谱系

研究表明，最早的ModPOS感染最早发生在2012年。自2013年以来，该恶意软件的某些片段就吸引了病毒分析师的注意。同时，在相当长的一段时间内，ModPOS设法在自动模式下由防病毒网络处理的数十万和数千万间谍软件样本中丢失。同时，复杂的方法可以抵消虚拟机中ModPOS的标识问题，以抵消调试和代码混淆。

为了还原源代码，对其进行详细研究并了解ModPOS的一般结构及其各个部分的功能，病毒分析人员被迫进行大量的手动操作。

四年马拉松。 modpos-对抗的历史（插图：isight合作伙伴）。

根据iSight高级分析师Maria Noboa的说法，“通常，反向工程恶意软件大约需要20分钟。就ModPOS而言，我们花了大约三个星期才确认其恶意性质。我们以相同的时间恢复了其结构并试图理解其工作机制。这是我们遇到过的最困难的威胁。”

ModPOS开发的作者表现出了卓越的能力。因此，该研究称，只有一段外壳代码包含了六百多个函数。据参与解密的小组的分析师称，创建的木马以其最高的功能和模块化而著称，特别强调代码的混淆，复杂的工作痕迹扫描，使用隐藏当前活动的非标准方法以及在删除单个组件的情况下保证了恢复。

“我们可以说这不是一个单独的特洛伊木马，而是一个大型框架-一个包含许多模块和插件的复杂平台。在一起，它们使攻击者可以收集有关目标公司的全面信息，包括直接从销售系统获得的所有付款信息以及经理的个人凭证。

ModPOS是从银行卡窃取数据的领域的质性上的新扩展，传统上是进行大量欺诈性交易，并且继续使用撇渣器（与微型相机串联的ATM键盘上的覆盖物）或微光（直接集成到读卡器中的超薄撇渣器）进行。 ModPOS木马能够在考虑感染的特定系统的独特功能的情况下进行转换。这导致其模块的哈希值永远不会相同以及自动生成的签名的功能。由于ModPOS处于最低级别，因此至少三年来，他不仅规避了签名扫描器的功能，而且还规避了启发式分析器以及行为分析工具的功能。

modpos工作算法（说明：isight合作伙伴）。

作为内核级别的rootkit，ModPOS引入了自己的驱动程序，该驱动程序可以拦截系统功能并使用加密来抵消试图分析代码并隐藏其实际动作的尝试。在ModPOS模块中，检测到一个嗅探器，一个键盘记录程序和一个用于新组件的加载程序。

研究ModPOS的iSIGHT小组的分析师得出结论，认为使用国际银行卡交易（EMV）标准作为防范木马的手段无效。 ModPOS能够直接从支付终端和RAM复制数据。此外，在删除卡后，恶意软件已经能够模拟交易。只有那些提供从终端到支付处理中心的链的端到端加密的支付系统才具有对ModPOS的充分免疫力。欺诈者以及许多地方仍然安装了老式终端的事实，它们可以在兼容模式下工作。忽略芯片，他们以老式的方式从卡的磁条读取数据，就像EMV集成之前到处都是这样。

他们认为，iSIGHT专家对ModPOS代码进行分析后得出的想法是，开发主要集中在美国零售商系统的支付系统上。同时，还确定了与IP地址位于东欧的网络节点进行交互的团队。

通过对接收到的信息进行分析以及对ModPOS代码进行解码，iSIGHT Partners可以编译一个支付系统库，该系统很有可能已成为恶意软件的受害者。已经通知了其所有者。专家组正在与R-CISC网络威胁对策中心积极合作，希望共同努力将大大加速ModPOS的发现和中和。

来自computerra.ru，isightpartners.com的来源。

尊敬的读者，我们总是很高兴在博客页面上与您见面并等待您。我们准备继续与您分享最新新闻，评论文章和其他出版物，并会尽力使与我们一起度过的时光对您有用。并且，当然，不要忘记订阅我们的部分。

我们的其他文章和事件

ModPOS-特洛伊木马出售

谱系

More articles: