几乎在看到该样本的那一刻,一个字符串在我脑海中浮现出来:
.mailslotLogCC。
在大多数的POS变种中,都是利用一个进程读取其他进程的内存,然后将发现的跟踪数据写入到日志中。因为LogPOS将代码注入到了各种进程中,然后令其搜索各个进程的内存,所以此时无法使用日志,因为它们不能同时以写入访问模式打开同一个文件。所以,LogPOS选择使用了邮件槽。
使用邮件槽进行通信或存储对恶意软件来说并不是一种新机制,在火眼(FireEye)关于APT28的一份报告中,它提到该组织曾使用过邮件槽“check_mes_v5555”。邮件槽是一种IPC机制,它允许多个客户端向服务器发送消息。在本文所分析的样本中,主程序创建了邮件槽,并作为邮件槽服务器,而注入到各个进程中的代码则作为客户端,它们将获取到的信用卡号码写入邮件槽,然后通过邮件槽直接传输到C2。
在程序执行的开始处,程序以邮件槽名字.mailslotLogCC为参数调用了CreateMailslotA函数。
(1)与白名单进行比较
(2)将shellcode注入到进程中(如果不在白名单中)
(3)扫描信用卡跟踪信息
(4)使用Luhn算法进行验证
最有趣的是注入的代码,所以接下来我们将更详细地对其进行分析。
在遍历进程(如上所述)时,恶意软件会将进程名与白名单进行比对,白名单主要包含以下名字:
windbg.exe logounui.exe taskmgr.exe skype.exe thunderbird.exe devenv.exe steam.exe winlogon.exe wininit.exe csrss.exe smss.exe svchost.exe firefox.exe chrome.exe explorer.exe psi.exe pidgin.exe System
小编推荐阅读
