新闻快讯
< >

PoS端恶意软件LockPoS被曝利用新型注入技术

E安全1月7日讯 以色列Cyberbit网络安全公司的研究人员表示, PoS端恶意软件LockPoS 一直在利用新的代码注入技术攻击目标系统。

LockPoS于2017年7月浮出水面。安全研究人员发现,LockPoS窃取与PoS信用卡扫描仪连接的电脑内存中的信用卡数据,之后将其发送至命令与控制(C&C)服务器。

PoS端恶意软件LockPoS被曝利用新型注入技术-E安全

先前的分析揭露,LockPoS恶意软件使用Dropper直接注入explorer.exe进程。执行后,Dropper会从自身提取资源文件,并注入加载最终PayLoad的各种组件。

如今,这款恶意软件正在使用代码注入——似乎是变着花样沿用了Flokibot PoS恶意软件曾使用的技术。 LockPoS曾被曝利用Flokibot僵尸网络进行传播,Flokibot PoS与LockPoS这两款恶意软件存在相似之处。

LockPoS恶意软件采用的黑客技术

Cyberbit 表示,LockPoS利用的其中一种注入技术会在内核中创建内存区对象(Section Object),调用函数将这个内存区的视图映射至另一个进程,之后将代码复制到这个内存区,并创建远程线程执行映射的代码。

LockPoS被曝使用三个主函数(NtCreateSection、NtMapViewOfSection和NtCreateThreadEx)将代码注入到远程进程,这三个函数均从ntdll.dll导出。

这款恶意软件不会调用上述函数,而是从磁盘将ntdll.dll映射到自己的虚拟内存地址空间,从而保存“干净的”副本。LockPoS将恶意代码复制到内存区,之后在explorer.exe创建远程线程执行恶意代码。

借助这种恶意软件注入方法,LockPoS可避开反病毒软件在ntdll.dll上安装的Hook,从而提升攻击的成功率。

Cyberbit的恶意软件分析师霍德-加夫瑞尔表示,这种新型恶意软件注入技术呈现一种新趋势:攻击者会变花样增加检测难度。虽然大多数端点检测与响应(EDR)和下一代反病毒产品已在监控用户模式下的Windows功能,但却无法监控Windows 10中的内核功能。为了确保反病毒软件成功检测到这类威胁,有必要提升内存分析能力。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。