ATM 恶意流程组织机构 Prilex 自 2014 年起就已经开始活耀,不过在 2016 年,该组织机构下定决心舍弃 ATM 销售业务,将大部份目光分散在 PoS 控制系统。很快,她们采用了恶意流程即服务模式,并将反击范围扩大至阿根廷以外的地方,以模组化的方式创建了一套包括侧门、上传流程和盗取流程的工具。
Prilex PoS 恶意流程从一个简单的内存截取器演进为非常先进和复杂的恶意流程,直接处理 PIN pad 硬件协议卡。
在 2016 年的啤酒节期间,一间阿根廷商业银行意识到她们的 ATM 已被骇客入侵,其中的大部份现金都被盗了。根据事后报告,策划此次反击的普通用户能在同一起事件中病毒感染属于一间商业银行的 1000 多台机器,这使她们得以在阿根廷复制 2.8 万张独特的网银。
普通用户没有进入 ATM 的物理职权,但她们能透过一个包含 4G 交换机和X3100派的 DIY 设备出访商业银行的互联网。透过关上侧门,她们能劫持该机构的无线连接,并随意反击 ATM。在获得初始互联网出访职权后,普通用户将运行互联网识别过程以查找每一 ATM 的 IP 地址。有了这些重要信息,普通用户将开启横向移动阶段,采用默认的 Windows 凭证,然后在所需的控制系统中安装定制的恶意流程。侧门将允许普通用户透过开启恶意流程界面并输入普通用户提供的标识符来移走 ATM 套传输层,每一被骇客反击的 ATM 的标识符都是自订的。
病毒感染了 Prilex 的 ATM反击中采用的恶意软件名为 Prilex,它是透过采用特权重要信息和 ATM 互联网的高阶知识从零已经开始合作开发的。该恶意流程能从插入受病毒感染 ATM 的网银和借记卡上的指纹中捕获重要信息。之后,这些有用的重要信息可用于布季夫商业银行卡并从银行客户那里盗取更多资金。
演进成 PoS 恶意流程的过程
Prilex 已经从专注于 ATM 的恶意流程演进为针对阿根廷国内的支付控制系统的模组化恶意流程,即所谓的 EFT/TEF 应用软件。它们的 ATM 和 PoS 版之间有许多相似之处。她们的第一个 PoS 恶意流程于 2016 年 10 月在野外被发现。前两个样品的校对年份为 2010/2011,如下图右图。但是,研究人员认为由于不正确的控制系统年份和天数增设而增设了无效的校对年份。在后来的版中,天数戳对应于发现样品的天数。我们还注意到,在 2022 年合作开发的应用软件中,合作开发者已经开始采用 Subversion 作为版控制控制系统。
Prilex PoS 恶意应用软件的版:2022 年的 3 个新版如上右图,Prilex 在 2020 年非常活耀,但在 2021 年突然消失,并在 2022 年重新出现并发布了三个新变体。
Prilex 的 PoS 版是用 Visual Basic 撰写的,但本文中描述的盗取模块是用 p-code 撰写的。具体来说,这是 Visual Basic 流程中的高阶指令与 CPU 执行的低级本机标识符之间的中间步骤。 Visual Basic 在运行时将 p-code 语句转换为本机标识符。
Prilex 并不是唯一起源于阿根廷的 PoS 恶意流程,研究人员发现它与原来的 Trojan-Spy.Win32.SPSniffer 存在某种联系,两个家族都能拦截 PIN pad 的信号,但采用的方法不同。
PIN pad 配备硬件和安全功能,以确保在有人试图篡改设备时擦除安全密钥。事实上,PIN 在进入设备时采用各种加密方案和对称密钥进行加密。大多数情况下,这是一个三重 DES 编码器,使它很难破解 PIN。
但是有一个问题:这些设备总是透过 USB 或串行端口连接到计算机,这些端口与 EFT 应用软件进行流量。原来的 PIN pad。
SPSniffer:允许捕获非加密流量的串口嗅探器Prilex 用于捕获网银数据的主要方法是采用 PoS 控制系统库中的补丁,允许恶意流程收集应用软件传输的数据。恶意流程将寻找一组特定的可执行文件和库的位置,以便应用补丁,从而覆盖原始标识符。安装补丁后,恶意流程会从 TRACK2 收集数据,例如帐号和到期年份,以及执行欺诈交易所需的其他持卡人重要信息。
初始病毒感染载体
Prilex 不是一种广泛传播的恶意流程,因为它不是透过电子邮件垃圾邮件活动传播的。它具有高度针对性,通常透过社会工程传播,例如,目标企业可能会接到自称是 ” 技术人员 ” 的电话,他坚持认为该公司需要更新其 PoS 应用软件。假冒技术人员可能会亲自出访目标,或要求受害者安装 AnyDesk,并为其提供远程出访职权,以安装恶意流程。
PoS 供应商关于 Prilex 社会工程反击的警告采用 EMV 标准的漏洞发起反击
阿根廷于 1999 年已经开始采用 EMV,如今,该国发行的几乎大部份卡都支持芯片。芯片内部有一个基于 java 的小应用流程,可以很容易地操作以创建一张 ” 金票(golden ticket)” 卡,该卡在大多数销售点控制系统中都有效。这使普通用户能升级她们的工具集,使她们能以这种新技术为特色创建自己的卡片。
最初版的 Prilex 能执行重放反击,在这种反击中,它们没有破坏 EMV 协议,而是利用了糟糕的实现。由于支付营运商未能执行 EMV 标准要求的某些验证,普通用户可以利用该过程中的这一漏洞为自己谋取利益。
在这种反击中,欺诈者透过卡片互联网推送常规指纹交易作为 EMV 购买,因为她们控制着支付终端,并有能力操纵透过该终端进行交
至少从 2014 年起,阿根廷互联网普通用户已经成功发起重放反击,比如 2019 年对一间德国商业银行的反击,该商业银行损失了 150 万欧元, Prilex 团伙声称对此负责。从名称字段和工具的功能来看,她们很可能采用了她们在黑市上销售的应用软件。
为了采用布季夫的网银自动进行反击,Prilex 普通用户采用了 Xiello 等工具,这是研究人员在 2020 年透过遥测技术发现的。该工具允许互联网普通用户在进行欺诈性购买时批量采用网银。它将购买数据发送给网银购买者,然后由她们批准或拒绝交易。
Prilex 用于自动化交易的 Xiello 工具随着支付行业和网银发行商修复 EMV 中的漏洞被修复,重放反击变得过时且无效,这促使 Prilex 团伙采用其他新的网银欺诈方式。
从 “Replay” 技术到 “Ghost” 技术的演进
最新版的 Prilex 在反击方式上与之前的版有所不同:该组织机构已从重放反击转变为采用受害者卡在店内支付过程中生成的密码进行欺诈交易,攻击者将其称为 “GHOST 交易 “。
在这些反击中,Prilex 样品作为 RAR SFX 可执行文件安装在控制系统中,将大部份必需的文件提取到恶意流程目录并执行安装脚本(VBS 文件)。从已安装的文件中,我们可以突出显示该活动中采用的三个模块:一个侧门,在这个版中除了用于流量的 C2 服务器外没有改变;一个盗取模块和一个上传模块。
维护持久性的 Prilex 方法盗取模块负责拦截销售点应用软件和用于在交易期间读取卡的 PIN pad 之间的大部份流量。一旦识别出正在运行的交易,恶意流程将拦截并修改交易内容,以便能捕获卡重要信息并向受害者的卡请求新的 EMV 密码。这些密码随后用于 GHOST 交易。
用于解析发送 / 接收的密码键盘消息的方法为了针对一个特定的进程,普通用户将对机器进行初步筛选,以检查它是否是具有足够网银交易的有趣目标,并确定她们将针对的流程。
进程被识别后,恶意流程将继续安装拦截交易重要信息所需的挂钩。由于 PoS 应用软件和读卡器之间的流量是透过 COM 端口进行的,因此恶意流程会在目标进程内安装许多 Windows API 的挂钩,旨在根据需要监控和更改数据。有趣的是,Prilex 不是为挂钩流程分配内存,而是在模块内存中找到空闲空间,这种技术称为标识符洞穴,这使得一些安全解决方案很难检测到受病毒感染控制系统中的威胁。
添加到 CloseHandle 进程中的挂钩标识符从交易中捕获的大部份重要信息都被保存到一个加密文件中,该文件位于恶意流程配置之前增设的目录中。这些文件随后会被发送到恶意流程 C2 服务器上,允许互联网普通用户透过以虚假公司名义注册的欺诈性 PoS 设备进行交易。
捕获的网银数据稍后将被发送到营运商服务器期与提交年份不匹配的事实来识别欺诈交易,因为欺诈交易是在较晚的天数提交的。
在较新版的 Prilex 执行的 GHOST 反击中,它会在捕获交易后请求新的 EMV 密码。然后,这些密码将透过其中一种网络犯罪工具用于欺诈交易,其输出日志如下右图。
上表显示了从恶意流程收集的数据。它包含由卡生成的授权请求密码 ( ARQC ) ,现在应该得到发卡机构的批准。剖析响应(80128000AA5EA486052A8886DE06050A03A4B8009000)后,我们得到以下重要信息。卡上应用了多个应用流程密码,其中交易金额(蓝色)、ATC(绿色)和生成的密码(红色)在每次交易中都会发生变化。具体来说,这是整个 Prilex 方案:Prilex:从病毒感染到套现侧门模块
侧门有许多命令,除了内存扫描流程常见的内存扫描之外,较老的 ( ATM ) Prilex 版还提供了一个命令,用于调试进程和查看其内存。这很可能被用于了解目标应用软件行为并对恶意流程或环境进行调整以执行欺诈交易。旧版的 Prilex 对特定应用软件库进行了修补,而较新的示例不再依赖特定应用软件,而是采用 Windows api 来执行它的工作。
Prilex 调试器下面是在 ATM 版的 Prilex 中采用的命令列表,其中包括调试:
Reboot, SendKeys, ShowForm, Inject, UnInject, HideForm, Recursos, GetZip, SetStartup, PausaProcesso, LiberaProcesso, Debug, SendSnapShot, GetStartup, CapRegion, CapFerro, KillProcess, Shell, Process, GetModules, GetConfig, StartSendScreen, StopSendScreen, ReLogin, StartScan, GetKey, SetConfig, RefreshScreen, Download, TakeRegions, Enviar Arquivo, ScanProcessStart, ScanProcessStop, StartRegiao, StopRegiao, StartDownload, StopDownload.
即使在 PoS 版中添加了一组新命令,我们仍然可以发现一些来自 ATM 反击的命令仍在采用中。许多可用的命令都是通用的,这允许普通用户收集有关受病毒感染机器的重要信息。
上传模块该模块负责检查配置文件中 CABPATH 参数指定的目录,并将大部份被盗交易生成的 cab 文件发送到服务器,这些文件是透过 HTTP POST 请求发送的。模块采用的终端也在上传器配置文件中提到。
该模块的采用表明该组织机构的操作结构发生了变化,因为在之前的版中,收集到的重要信息被发送到服务器,该服务器的地址被硬编码为盗取标识符,并且该模块采用与侧门相同的协议。该上传流程允许操作人员根据配置文件中的指示增设所收集重要信息的终端,从分析的样品来看,可以看到该过程涉及不同的基础设施。
捕获的数据存储在上传器 C2 中恶意流程即服务
早 2019 年,一间声称与 Prilex 有关联的网站已经开始提供据称是该组织机构创建的恶意流程包。研究人员认为这是不可能的,因为该网站可能由试图冒充该组织机构的模仿者营运,并利用 Prilex 多年来赢得的声誉来赚钱。
在撰写本文时,该网站仍在运行中。
据称是 Prilex PoS 套件的要价是 3500 美元该网站称其大部份者过去曾与俄罗斯互联网普通用户合作,不过该说法还无法被验证。值得一提的是,研究人员在地下渠道发现了透过 Telegram 聊天销售的 Prilex 恶意流程包被引用,价格在 10000 欧元到 13000 美元之间。研究人员无法确认所提供的是真正的 Prilex 恶意流程。同时,Prilex 现在采用 Subversion 清楚地表明她们正在与多个合作开发者合作。
总结
Prilex 组织机构非常擅长对网银和借记卡交易发起反击,并合作开发用于支付处理的应用软件。这使普通用户能不断更新她们的工具,以找到绕过授权策略的方法,从而允许她们执行反击。
经过多年的活动,该组织机构已经迭代了很多反击技术。但是,它总是滥用与 PoS 应用软件相关的流程来拦截和修改与 PIN pad 的流量。考虑到这一点,研究人员强烈建议 PoS 应用软件合作开发者在其模块中实施自我保护技术。
