首页 > 菜鸟学院 > 深入分析新型POS机木马LogPOS

深入分析新型POS机木马LogPOS

时间:2015-03-12 | 来源:互联网 | 阅读:177

话题: 漏洞 木马 网络安全

深入分析

几乎在看到该样本的那一刻,一个字符串在我脑海中浮现出来:

.mailslotLogCC。

在大多数的POS变种中,都是利用一个进程读取其他进程的内存,然后将发现的跟踪数据写入到日志中。因为LogPOS将代码注入到了各种进程中,然后令其搜索各个进程的内存,所以此时无法使用日志,因为它们不能同时以写入访问模式打开同一个文件。所以,LogPOS选择使用了邮件槽。

使用邮件槽进行通信或存储对恶意软件来说并不是一种新机制,在火眼(FireEye)关于APT28的一份报告中,它提到该组织曾使用过邮件槽“check_mes_v5555”。邮件槽是一种IPC机制,它允许多个客户端向服务器发送消息。在本文所分析的样本中,主程序创建了邮件槽,并作为邮件槽服务器,而注入到各个进程中的代码则作为客户端,它们将获取到的信用卡号码写入邮件槽,然后通过邮件槽直接传输到C2。

在程序执行的开始处,程序以邮件槽名字.mailslotLogCC为参数调用了CreateMailslotA函数。

如果邮件槽创建失败,程序将会退出;否则,程序将进入一个无限循环,并按顺序执行下面的函数:

1、休眠500毫秒 

2、遍历进程    

(1)与白名单进行比较    

(2)将shellcode注入到进程中(如果不在白名单中)    

(3)扫描信用卡跟踪信息    

(4)使用Luhn算法进行验证 

3、读取邮件槽 

4、将数据发送出去

最有趣的是注入的代码,所以接下来我们将更详细地对其进行分析。

在遍历进程(如上所述)时,恶意软件会将进程名与白名单进行比对,白名单主要包含以下名字:

windbg.exe logounui.exe taskmgr.exe skype.exe thunderbird.exe devenv.exe steam.exe winlogon.exe wininit.exe csrss.exe smss.exe svchost.exe firefox.exe chrome.exe explorer.exe psi.exe pidgin.exe System


湘ICP备2022002427号-10湘公网安备:43070202000427号
© 2013~2019 haote.com 好特网