深入分析
幾乎在看到該樣本的那一刻�,一個字符串在我腦海中浮現(xiàn)出來:
.mailslotLogCC。
在大多數(shù)的POS變種中��,都是利用一個進程讀取其他進程的內(nèi)存����,然后將發(fā)現(xiàn)的跟蹤數(shù)據(jù)寫入到日志中���。因為LogPOS將代碼注入到了各種進程中,然后令其搜索各個進程的內(nèi)存�,所以此時無法使用日志,因為它們不能同時以寫入訪問模式打開同一個文件�����。所以���,LogPOS選擇使用了郵件槽�����。
使用郵件槽進行通信或存儲對惡意軟件來說并不是一種新機制�����,在火眼(FireEye)關(guān)于APT28的一份報告中���,它提到該組織曾使用過郵件槽“check_mes_v5555”。郵件槽是一種IPC機制�����,它允許多個客戶端向服務(wù)器發(fā)送消息。在本文所分析的樣本中�,主程序創(chuàng)建了郵件槽,并作為郵件槽服務(wù)器����,而注入到各個進程中的代碼則作為客戶端,它們將獲取到的信用卡號碼寫入郵件槽�,然后通過郵件槽直接傳輸?shù)紺2。
在程序執(zhí)行的開始處����,程序以郵件槽名字.mailslotLogCC為參數(shù)調(diào)用了CreateMailslotA函數(shù)。
如果郵件槽創(chuàng)建失敗���,程序?qū)顺��;否則,程序?qū)⑦M入一個無限循環(huán)����,并按順序執(zhí)行下面的函數(shù):
1、休眠500毫秒
2��、遍歷進程
(1)與白名單進行比較
(2)將shellcode注入到進程中(如果不在白名單中)
(3)掃描信用卡跟蹤信息
(4)使用Luhn算法進行驗證
3、讀取郵件槽
4��、將數(shù)據(jù)發(fā)送出去
最有趣的是注入的代碼����,所以接下來我們將更詳細地對其進行分析。
在遍歷進程(如上所述)時����,惡意軟件會將進程名與白名單進行比對,白名單主要包含以下名字:
windbg.exe
logounui.exe
taskmgr.exe
skype.exe
thunderbird.exe
devenv.exe
steam.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
firefox.exe
chrome.exe
explorer.exe
psi.exe
pidgin.exe
System
小編推薦閱讀
