攻击酒店和餐饮业POS系统的ModPipe后门程序
- A
TheHackerNews发布报告,发现名为ModPipe的新型模块化后门程序,该后门程序主要针对RES 3700 POS系统。
RES 3700 POS系统全称为Oracle MICROS Restaurant Enterprise Series3700,是知名酒店和餐饮业的管理系统。
RES 3700 POS系统是酒店和餐饮行业广泛使用的软件系统,因有效管理支付、库存、人员而在全球市场广泛使用。
这里需要注意的是,资料显示,ModPipe后门程序实际首先由知名安全软件公司ESET的安全人员感知并发出了预警。
据悉,ModPipe后门程序采用模块化体系结构,该体系结构由基本组件和可下载模块构成,可窃取设备中敏感信息。
ModPipe的模块化体系结构包括32和64位的持久性加载程序,这些程序中包括删除程序、加载程序和主要有效负载。
而其中的有效负载则可以创建一个通道以用于与其他恶意模块连接,并且还能充当恶意软件与C2之间通信的分发点。
此外,ModPipe还能从攻击者服务器中下载其他模块来增强性能,如窃取数据库密码、配置信息、获取运行进程等。
RES 3700 POS系统的数据库中用户的信用卡号和到期日等信息都是加密,而攻击者会下载解密模块解密这些数据。
之后,攻击者就能利用自定义的算法从Windows注册表值中直接解密窃取到的RES 3700 POS设备中的数据库密码。
攻击者将获取到的密码进行筛选后,就可以获得登陆凭证,然后访问数据库并配置状态表和有关POS机交易的信息。
为了避免用户受到ModPipe攻击,安全专家建议使用RES 3700 POS设备的企业应当及时更新操作系统和软件设备。
此外,安装安全防护软件也是必不可少的步骤,前提是您的安全软件可以及时更新,从而规避ModPipe等程序攻击。
