網上有很多關于pos機裝木馬,賽門鐵克警示金融機構應警惕利用Odinaff木馬的高級金融攻擊的知識，也有很多人為大家解答關于pos機裝木馬的問題，今天pos機之家(www.rfzwjmbr.cn)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機裝木馬

pos機裝木馬

自 2016 年 1 月起，利用Trojan.Odinaff惡意軟件所進行的網絡攻擊活動，已將全球眾多金融機構作為攻擊目標。這些攻擊主要集中在銀行、貿易和薪酬管理等領域的企業。同時，為這些企業提供支持的企業與機構同樣面臨攻擊風險。

Odinaff通常部署在攻擊活動的第一階段，目標在于盡快占據網絡中的據點，進而在目標網絡中長期存在并安裝附加工具。值得一提的是，這些附加工具均具備Carbanak高級攻擊組織的攻擊特征。Carbanak惡意軟件從2013年就已將金融行業作為攻擊目標。此次Odinaff的新一輪攻擊同樣使用了Carbanak活動中曾使用過的部分基礎設施。

Odinaff攻擊需要大量的手動操作，并在目標計算機的系統中部署大量輕量級后門病毒和用于特定目的的工具。攻擊期間，攻擊者需要對這些工具進行大量的協調、開發、部署和操作等。與此同時，定制化惡意軟件工具同樣會部署于計算機系統中，例如專門用于秘密通信 (Backdoor.Batel)、發現網絡、盜取證書和監控員工等活動。

盡管這類針對銀行的攻擊難以實施，但回報十分可觀，由Carbanak組織發起的網絡攻擊所造成的總損失高達數千萬，甚至上億萬美元。

全球威脅

賽門鐵克安全團隊發現Odinaff攻擊活動從 2016 年 1 月便已出現，并對多個國家地區的企業展開攻擊。其中，美國是主要受到攻擊的國家，其他主要攻擊目標依次為中國香港、澳大利亞、英國和烏克蘭。

圖 1.Odinaff的攻擊行業分布圖

賽門鐵克安全團隊在深入了解遭遇攻擊的企業業務本質后發現，金融機構是受到攻擊最嚴重的行業，占攻擊數量的34%。與此同時，部分攻擊將安全、司法、醫療、政府及政府服務等行業作為攻擊目標。賽門鐵克尚未了解此類攻擊是否出于牟利動機。

大約60%的攻擊目標行業尚未清晰識別，但賽門鐵克發現，主要遭遇攻擊的電腦都曾運行金融類軟件應用，這意味著，此類攻擊背后以金融目標為導向。

攻擊方法

Odinaff攻擊者利用多種手段入侵目標企業的網絡，其中最常見的方法便是通過含有惡意宏病毒的誘惑性文檔感染目標企業。如果接收者選擇啟用宏，該病毒便會在計算機上安裝Odinaff 木馬。

圖 2.含有Word宏啟用方式指令的誘惑性文檔

為了誘使受害者在計算機中安裝Odinaff，攻擊者還會使用受密碼保護的RAR 文件進行攻擊。盡管尚未清楚這些惡意文檔或鏈接的傳播方式，但賽門鐵克安全團隊認為，此類文檔或鏈接極有可能通過魚叉式網絡釣魚電子郵件來實現傳播。

此外，Trojan.Odinaff還可通過僵尸網絡進行傳播。該木馬能夠植入到已感染其他惡意軟件的計算機中，例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula)）。Andromeda 惡意軟件是被植入木馬的AmmyyAdmin安裝程序。AmmyyAdmin是一種合法的遠程管理工具，該安裝程序可從官方網站進行下載，但官方網站最近頻遭攻擊，已被植入許多不同的惡意軟件。

惡意軟件工具包

Odinaff是一種相對輕量級的后門木馬，能夠連接到遠程主機，并每五分鐘尋求一次命令。Odinaff具有兩項主要功能：下載 RC4 加密文件并執行；發布shell命令，并將這些命令寫入批處理文件中并執行。

鑒于攻擊的專業程度，攻擊者需要實施大量的手動干預。因此，Odinaff組織始終謹慎管理攻擊活動，盡量在企業網絡中保持低調，并僅在需要時下載和安裝新工具。

攻擊者主要利用Trojan.Odinaff實施初期入侵，并輔助其他工具完成攻擊。他們所使用的另一種惡意軟件被稱為Batle(Backdoor.Batel)，主要用于對目標計算機實施攻擊。它能夠完全在內存中運行負載，因此可秘密隱藏于受感染的計算機中。

攻擊者通過使用大量不同的輕量黑客工具和合法軟件工具入侵目標網絡并識別關鍵計算機。這些工具包括：

·Mimikatz：一種開源密碼恢復工具·PsExec：一種來自SysInternals的流程執行工具·Netscan：一種網絡掃描工具·Ammyy Admin (Remacc.Ammyy)和Remote Manipulator System變體 (Backdoor.Gussdoor)·Runas：一種可使用其他用戶身份運行流程的工具。·PowerShell

此外，該攻擊組織很可能已經開發出用于入侵特定計算機的惡意軟件。這些工具的創建時間與部署時間非常接近。這些工具中，含有每間隔5-30秒便可捕獲屏幕截圖的組件。

針對SWIFT用戶的攻擊證據

賽門鐵克安全團隊已經掌握Odinaff組織針對SWIFT用戶進行攻擊的證據 ——使用惡意軟件隱藏與欺詐交易相關的 SWIFT用戶信息。同時使用工具監控SWIFT用戶的本地信息日志，并搜索與特定交易相關的關鍵詞。不僅如此，攻擊者還會將這些日志從用戶本地的SWIFT軟件環境中移出。目前，尚無跡象表明SWIFT網絡已感染病毒。

“suppressor”組件是寫入 C 盤的小型可執行文件，主要用于監控包含特定文本字符串文件的特定文件夾。賽門鐵克發現，這些字符串均提及日期與特定的國際銀行賬號 (IBAN) 。這些系統中的文件夾結構大部分為用戶定義和專有。這表明，每個可執行文件都專門面向一個目標系統。

在與suppressor共同發現的文件中，其中包括一個可覆蓋硬盤前 512B 數據的小型磁盤格式化工具。該工具包含主引導記錄 (MBR)，攻擊者無需使用特殊工具便可訪問硬盤。賽門鐵克認為，每當攻擊者棄用系統或阻止調查時，便會使用該工具掩蓋其行蹤。

繼Lazarus組織搶劫孟加拉國央行之后，Odinaff攻擊已經成為另一組織從事此類攻擊活動的一大案例。Odinaff攻擊與Lazarus的SWIFT攻擊無明顯聯系，且Odinaff團伙所使用的SWIFT惡意軟件與 Lazarus相關攻擊使用的惡意軟件Trojan.Banswift無任何相似性。

與 Carbanak的潛在聯系

賽門鐵克發現Odinaff相關攻擊與Carbanak組織存在某種聯系。Carbanak組織的攻擊活動于 2014年年底為公眾所知，該組織擅長對金融機構發起高價值攻擊，并涉及多起針對銀行的攻擊和銷售點(PoS)入侵攻擊。

除了相似的作案手法外，Odinaff 和 Carbanak之間同樣存在許多其他關聯：

·3個命令和控制 (C&C) IP地址都與之前暴露的Carbanak活動有關；·Odinaff使用的其中一個IP地址與Carbanak組織造成的Oracle MICROS數據泄露事件有關；·Backdoor.Batel曾多次出現在Carbanak的相關攻擊活動中。

盡管Carbanak所使用的主要木馬 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)從未在Odinaff的攻擊活動中被發現，但賽門鐵克安全團隊仍然認為，該組織使用了多種隱蔽傳播方法來入侵金融機構。

雖然 Odinaff可能從屬于更大的攻擊組織，但基礎設施的交叉并不具有典型性。因此它也有可能是一個相似的組織或攻擊團體。

銀行面臨嚴重威脅

Odinaff 攻擊的發現表明，銀行面臨的攻擊風險正在不斷加大。在過去幾年間，網絡攻擊者已經對銀行所使用的內部金融系統進行深入了解，獲知銀行內部所采用的多種系統，并投入大量時間研究運行原理和員工的操作方式。由于某些攻擊組織具有較高的專業技術水平，賽門鐵克認為，任何被列入潛在攻擊目標的企業與機構都面臨著重大的安全威脅。

賽門鐵克安全防護

賽門鐵克和諾頓產品可檢測出以下威脅：

防病毒程序

·Trojan.Odinaff·Trojan.Odinaff!g1·Trojan.Odinaff!gm·Backdoor.Batel·Remacc.Ammyy·Backdoor.Gussdoor

入侵防御系統

·受感染的系統：Trojan.Odinaff 活動

Bluecoat

Bluecoat產品能夠：

·攔截違規網絡流量·檢測并攔截使用Backdoor.Batel & Trojan. Odinaff的惡意軟件

以上就是關于pos機裝木馬,賽門鐵克警示金融機構應警惕利用Odinaff木馬的高級金融攻擊的知識，后面我們會繼續為大家整理關于pos機裝木馬的知識，希望能夠幫助到大家！