<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("VXers,dns,信用卡,数据") PageTitle=stripHTML("VXers通过dns偷取信用卡数据") ArticleIntro=stripHTML("NewPosThings恶意软件现在发现了一个新的变种,它使用DNS协议穿透防火墙从而传输数据。") Articlecontent=stripHTML("NewPosThings恶意软件现在发现了一个新的变种,它使用DNS协议穿透防火墙从而传输数据。  它被命名为VXers,因为使用了DNS协议,对于偷取数据来说…") ModuleName = stripHTML("news") InfoID = stripHTML("226212") ChannelShortName=stripHTML("资讯") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("news") %> VXers通过dns偷取信用卡数据 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 资讯 >> 最新新闻 >> 正文

[图文]VXers通过dns偷取信用卡数据

2016/4/22 作者:暗羽喵 来源: 360安全播报
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>


  NewPosThings恶意软件现在发现了一个新的变种,它使用DNS协议穿透防火墙从而传输数据。

  它被命名为VXers,因为使用了DNS协议,对于偷取数据来说它有一定优势。企业网络和互联网不会缺少DNS数据包,因此防火墙一般不会进行阻拦。而且一般认为DNS数据都是良性的,系统管理员也不怎么会关注DNS数据包。

  根据 Fireeye的报告,在业务环境中,管理员通常会关注监控、限制或阻止HTTP或者FTP流量。DNS一般被忽略,因此开始逐渐有使用DNS进行的黑客行为,例如之前的 Prior POS恶意软件公司BernhardPOS和FrameworkPOS。

  Multigrain也是NewPosThings的一个变种,在这里有相关讨论。它以后端POS进程multi.exe为目标,同时会进行相应环境判断。

  在感染后,Multigrain会使用精心设计的DNS请求包告诉攻击者已经成功在目标机上进行了安装,之后它会开始抓取目标机上的卡数据(账户号码,有效期,以及卡安全号码)。

  获得的数据会使用1024位RSA密钥进行加密,之后每隔5分钟会使用DNS将新的数据发送给攻击者。

  Fireeye也指出,Multigrai与NewPosThings最大的相似之处在于,它的代码会注入到目标内存中,并且使用DJB2哈希算法确定攻击者指挥和控制的目标机器。



  • 上一篇资讯:

  • 下一篇资讯: 没有了