趋势科技研究员发现powPos和logPOS两款pos机恶意软件

有安全研究人员又发现了两个POS机的恶意软件。其中一个是PwnPOS，攻击者经过简单并精心构造便可轻易绕过检测而进行攻击。而另一个系列的木马则是LogPOS，这种恶意软件利用微软操作系统的邮件的广播式通讯（邮件发展的早期模型）将盗窃到的信用卡数据发送给攻击者。

第二个安全威胁，即LogPOS，是在上周被位于辛辛那提的Morphick安全公司发现的。

在其公司博客中，Morphick公司的安全研究人员Nikc Hoffman解释称：“使用Windows邮件广播式通讯并不是恶意软件进行攻击的一个新方法，”因为之前类似APT攻击就利用过这种方法。但是很明显，这种方法已经成为POS机恶意软件攻击者的主要攻击方式之一了。根据微软公司的回应，邮件广播式通讯是系统进程间单向通信的一种方式，应用程序可以存储信息并且邮件所有者可以获得这些信息。Hoffman认为这种情况下，LogPOS木马的制造者可以利用邮件单向广播方式去存储和采集信用卡信息。

Hoffman在文章中提到：“因为LogPOS木马会将代码注入到不同的进程中并且获取到进程在内存中的数据。因为不能同时打开同一个文件并写入数据，所以这种方法不会产生日志文件。所以，LogPOS选择使用邮件广播来实现攻击。”

他接着解释称：“在这种情况下，主进程会创建一个邮件广播进程并作为接收邮件服务器来运行，与此同时，已经被注入了进程的攻击代码将会以邮件槽客户端的身份来运行，然后将被加工过的信用卡卡号写入邮件槽中，之后信息将会被直接传输到C2服务器。”

在博客中，该公司发表了YARA（一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具）规则来使企业公司可以检测LogPOS木马的变种版本。

Hoffman认为，恶意软件家族的邮件广播工具由于其性能之高，可以绕过传统的POS机威胁验证，例如搜索未经过加密的信用卡信息，恶意软件将数据写入了邮件槽中。他还补充说：“随着新的POS恶意软件不断地被发现，他希望看到这个威胁趋势能减缓，尽管有很多社区正在努力去消除这类的威胁。”

上周，趋势科技的安全威胁研究员 Jay Yaneza公布了在2013年就开始出现的另一个恶意POS机变体软件（PwnPOS）的相关信息。Yaneza说：“PwnPOS之所以能够绕过雷达的监测，是因为它简易但精密的构造。”

在一篇博文中，他解释道：“恶意软件的两个主要的组件是由一个带有常量的二进制RAM  scraper和一个数据回撤模块组成。这种模块使用两种不同的二进制编码，其中一个使用了mpress 加壳，是通过跨平台的PureBasic语言进行封装；另一个则通过UPX加壳，并将可执行的Basic脚本编译工具封装在文件内。”

在周五与我们聊天时，Yaneza提到，PwnPOS中仅仅是数据回撤组件就使用了两个不同的电子邮件地址，虽然他无法亲自确认是否两个地址都属于同一个人的邮箱。

暂且不论RAM泄漏的恶意组件，他认为“最有意义的二进制字符串是使用Russian_Russia.1251编码，这种代码通常被识别为language[_country][.charset]。但是我们应该注意到，通常情况下，这种使用Windows-1251 8字节进行字符编码的方法是用于封装使用Cyrillic脚本语言。”他紧接着补充说：“在传输数字信号内容时，使用字符编码可以保证字符正确地显示出来。我们并不能就此认为，作者在编写时可以正确显示出字符，也能在别的文件正确输出显示出来。”

他接着补充说：“俄罗斯和罗马尼亚的服务提供商习惯以一个数据采集中间人的身份来实现数据回撤，这在过去已经提到过数次了”。

在博客中，趋势科技还为PwnPOS的威胁检测发布了带有指标方案的YARA（一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具）规则。

Ps:在Morphick公司发现了LogPOS恶意软件使用的是Windows系统的邮件槽之后，趋势科技公布了PwnPOS木马程序的相关详情

原文链接：http://www.scmagazine.com/two-pos-malware-families-detailed-by-security-firms/article/402472/​