深入分析
幾乎在看到該樣本的那一刻����,一個(gè)字符串在我腦海中浮現(xiàn)出來:
.mailslotLogCC�。
在大多數(shù)的POS變種中���,都是利用一個(gè)進(jìn)程讀取其他進(jìn)程的內(nèi)存��,然后將發(fā)現(xiàn)的跟蹤數(shù)據(jù)寫入到日志中���。因?yàn)長ogPOS將代碼注入到了各種進(jìn)程中���,然后令其搜索各個(gè)進(jìn)程的內(nèi)存,所以此時(shí)無法使用日志�,因?yàn)樗鼈儾荒芡瑫r(shí)以寫入訪問模式打開同一個(gè)文件。所以����,LogPOS選擇使用了郵件槽。
使用郵件槽進(jìn)行通信或存儲對惡意軟件來說并不是一種新機(jī)制���,在火眼(FireEye)關(guān)于APT28的一份報(bào)告中�,它提到該組織曾使用過郵件槽“check_mes_v5555”�。郵件槽是一種IPC機(jī)制,它允許多個(gè)客戶端向服務(wù)器發(fā)送消息����。在本文所分析的樣本中,主程序創(chuàng)建了郵件槽����,并作為郵件槽服務(wù)器,而注入到各個(gè)進(jìn)程中的代碼則作為客戶端����,它們將獲取到的信用卡號碼寫入郵件槽��,然后通過郵件槽直接傳輸?shù)紺2���。
在程序執(zhí)行的開始處,程序以郵件槽名字.mailslotLogCC為參數(shù)調(diào)用了CreateMailslotA函數(shù)��。
如果郵件槽創(chuàng)建失敗�����,程序?qū)顺�;否則���,程序?qū)⑦M(jìn)入一個(gè)無限循環(huán)���,并按順序執(zhí)行下面的函數(shù):
1、休眠500毫秒
2���、遍歷進(jìn)程
(1)與白名單進(jìn)行比較
(2)將shellcode注入到進(jìn)程中(如果不在白名單中)
(3)掃描信用卡跟蹤信息
(4)使用Luhn算法進(jìn)行驗(yàn)證
3�����、讀取郵件槽
4��、將數(shù)據(jù)發(fā)送出去
最有趣的是注入的代碼��,所以接下來我們將更詳細(xì)地對其進(jìn)行分析����。
在遍歷進(jìn)程(如上所述)時(shí),惡意軟件會將進(jìn)程名與白名單進(jìn)行比對���,白名單主要包含以下名字:
windbg.exe
logounui.exe
taskmgr.exe
skype.exe
thunderbird.exe
devenv.exe
steam.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
firefox.exe
chrome.exe
explorer.exe
psi.exe
pidgin.exe
System
小編推薦閱讀
