بدافزار Pro Pos؛ ساده‌تر از آن چیزی که تصور می‌شد

گونه‌ای از بدافزارهای مخرب که بر مراکز خرید و فروش تمرکز دارند و ماه گذشته در بازارهای زیرزمینی به فروش می‌رفتند، با وجودی که به راحتی قابل استفاده هستند ولی ساده‌تر از آن چیزی هستند که قبلاً تصور می‌شد.
به گفته‌ی محققان تالوس بخش تحقیقاتی شرکت سیسکو بدافزار Pro PoS بر پایه‌ی Alina نوع دیگر از بدافزارهای POS بنا شده است که کد منبع آن اوایل امسال لو رفته بود.
گزارشی که دو هفته قبل انتشار یافته بود ادعا می‌کرد که این بدافزار دارای پشتیبانی تور است و عمل‌کردی به مانند روت‌کیت دارد، این ساز و کار، ضدبدافزارهای امنیتی را با استفاده از موتور چند وجهی خود از این بدافزار دور نگه می‌دارد اما بن بیکر و کارل کارتر دو تن از محققان این شرکت نشانه‌های کمی از وجود این دو قابلیت‌ یافته‌اند.
بیکر و کارتر نمونه‌ای از نسخه‌ی ۱.۱.۵b بدافزار Pro PoS را مورد تحلیل قرار دادند و یافتند که این بدافزار از پشتیبانی Tor۲Web برخوردار است و پشتیبانی تور را ندارد. این دو نفر هیچ‌گونه موتور چند وجهی در این بدافزار نیافتند. آن‌ها یک روت‌کیت در آن یافتند اما خاطرنشان کردند که به نظر نمی‌رسد این روت‌کیت توسط این بدافزار به کار گرفته شود.
بیکر و کارتر ادعا کرده‌اند که نویسنده‌ی این بدافزار نشان داده است که قصد نداشته تا کدهای بسیار پیچیده‌ای در این بدافزار بگنجاند. این دو محقق یک فشرده‌ساز در این بدافزار یافتند اما خاطرنشان کردند که این فشرده‌ساز بدافزار شامل هیچ ضدتحلیل‌گری نیست و تنها برای اهداف فشرده‌سازی از آن استفاده می‌شود.
«با توجه به سادگی فشرده‌ساز و این حقیقت که حتی این بدافزار برخی از رشته‌ها را در باینری بدون تغییر باقی می‌گذارد،‌ این احتمال افزایش می‌یابد که شاید این فشرده‌ساز تنها برای فشرده‌ کردن باینری به کار می‌رود و هیچ هدفی برای جلوگیری از پیچیده کردن روند تحلیل آن در ذهن طراحان آن نبوده است.»
یک روت‌کیت ضعیف که به این بدافزار متصل است قبل از استفاده قادر به اعتبارسنجی داده نیست،‌ و باعث می‌شود که محققان را به این فکر بیاندازد که هدف اصلی از ساخت آن واقعاً چه بوده است. بر طبق اظهارات این پژوهش‌گر پنل فرمان این بدافزار دارای ابهام PHP نیست، قابلیتی که موجب می‌شود تا به آسانی در جهت معکوس پروتکل شبکه حرکت کند. این پنل شامل یک آسیب‌پذیری است که موجب می‌شود یک کد دلخواه PHP اجرا شود.
بیکر و کارتر نوشته‌اند: «آشکار است که کسانی که این بدافزار را نوشته‌اند به امنیت به عنوان یک نگرانی عمده نگاه نکرده‌اند.»
سایر قسمت‌های این بدافزار کم و بیش شبیه به بدافزار PoS عمل می‌کند- این بدافزار حافظه را خراش می‌دهد، شماره‌ی کارت را از تاریخ آن جدا می‌کند و می¬تواند برای اعتباربخشی در عرصه‌ی بین‌الملل استفاده گردد.
تالوس Talos سه‌شنبه راجع به این اوضاع هشدار داد؛ در حالی که این بدافزار ممکن است بسیار پیچیده نباشد، اما این حقیقت که کاربرد آن بسیار ساده است و در برخی از شلوغ‌ترین روزهای خرید فروشگاه‌ها در سال میان عموم منتشر شده است، نگرانی‌هایی را به دنبال دارد. در حالی‌که برخی از قابلیت‌های این بدافزار ممکن است کاملاً فعال نباشند، اما وجود همین قابلیت‌ها نشان می‌دهد که ممکن است این توانایی‌ها اصلاح و به کار گرفته شوند.
«سهولت استفاده و دسترسی مهمترین نکته‌ی این بدافزار Pro PoS است،‌ و اساساً مثالی از یک بدافزار تجاری شده است. بدافزار Pro PoS می‌تواند به راحتی برای افزایش قابلیت‌های خود اصلاح شود. این بدافزار بر اساس نوعی از ماژول طراحی‌شده است که به راحتی بتوان ماژول‌های جدید را به آن اضافه کرد تا قابلیت‌های مخرب آن افزایش یابد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap