ارسال داده‌های کارت‌های پرداخت با استفاده از DNS توسط بدافزار پایانه فروش «Multigrain»

محققان شرکت فایرآی بدافزاری را شناسایی کرده‌اند که اطلاعات کارت پرداخت را از سامانه‌های پایانه فروش سرقت کرده و از طریق DNS آنها را برای مهاجمان ارسال می‌کند. آنها بر این باور هستند که این تهدید که به نام «Multigrain» نامگذاری شده است، نوعی از NewPosThings -یک خانواده بدافزاری است که دست کم از اکتبر سال ۲۰۱۳ فعال بوده است- باشد.
به گفته فایرآی، مولتی گرین با اهداف سطح بالا و برای حمله به سامانه‌های اجراکننده‌ی فرایندهای خاص PoS (multi.exe) همراه با بسته نرم‌افزاری کارگزار (EDC) طراحی شده است. اگر فرایند multi.exe در دستگاه آلوده یافت نشود، این بدافزار خود را از بین می‌برد.
به محض اینکه این بدافزار بر روی سامانه قربانی نصب شد، مولتی گرین، یک مقدار درهم‌سازی شده با استفاده از الگوریتم DJB۲ بر اساس شماره سریال نام دستگاه و بخشی از آدرس MAC آن محاسبه می‌کند. این مقدار درهم‌سازی با نام رایانه و شماره نسخه باهم ترکیب شده و به وسیله الگوریتم Base۳۲ خاصی رمزنگاری می‌شوند. آنگاه این داده‌ها توسط یک درخواست DNS از سوی دامنه داخلی به سمت دامنه هدف ارسال می‌شود. سپس این بدافزار شروع به پویش حافظه‎ی فرآیند موردنظر برای پیدا کردن داده‌های رکورد مسیر۲ کارت پرداخت می‌کند که این مقدار با استفاده از آلگوریتم Luhn تأیید می‌شود.
فایرآی مولتی‌گرین را در خانواده بدافزاری NewPosThings دسته‌بندی کرده است زیرا این تهدیدات کدهایی مشابه دارند و داده‌های کارت‌ها را جمع‌آوری کرده و از الگوریتم درهم‌سازی DJB۲ برای شناسایی میزبان آلوده استفاده می‌کنند.
هر کدام از رکوردهای مسیر۲ که از حافظه‌ی فرآیند مورد هدف جمع‌آوری شده، با کلید عمومی ۱۰۲۴ بیتی RSA و با استفاده از الگوریتم مبتنی برBase۳۲ رمزنگاری شده و در بافر ذخیره می‌شود. این بدافزار این بافر را هر پنج دقیقه بررسی می‌کند و هر رکوردی را که در آن بیابد با استفاده از درخواست DNS به مهاجم ارسال می‌کند.

مولتی گرین اولین بدافزار پایانه فروش نیست که از DNS برای ارسال داده‌ها استفاده می‌کند، همین شیوه به وسیله خانواده‌ بدافزارهای BernhardPOS و FrameworkPOS نیز مورد استفاده قرار گرفته‌ است.
محققان فایرآی در بلاگ پستی خود می‌گویند: «استفاده از DNS برای ارسال داده‌ها، چندین مزیت برای مهاجمان ایجاد می‌کند. محیط‌های حساس که داده‌های کارت‌ها را پردازش می‌کنند، اغلب حساس و محدود هستند و ترافیک FTP و HTTP آنها اغلب کاملاً مسدود می‌شود. درحالی‌که این پروتکل‌های عمومی اینترنتی ممکن است در محیط‌های پردازش کارت سختگیرانه غیرفعال شده باشند، DNS هنوز برای بدست آوردن آدرس مربوط به نام دامنه در درون محیط شرکت‌ها لازم است و بعید است که مسدود شده باشد.»
نمونه بدافزار مولتی‎گرین که به وسیله شرکت فایرآی مورد تحلیل قرار گرفته است، به صورت دیجیتالی با یک گواهینامه صادر شده به وسیله کومودو برای «AMO-K Limited Liability Company» امضاء‌ شده است. این گواهینامه در اکتبر سال ۲۰۱۵ لغو شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.