新闻快讯
< >

LogMeinDNS流量藏恶意软件,靶向攻击PoS系统

E安全2月17日讯,上周四,网络安全公司 Forcepoint 研究人员罗伯特·纽曼与卢克·萨摩威尔在一篇博文中表示,某一名为 UDPoS 的新型恶意软件家族试图将自身伪装为合法服务,从而避免在传输实效数据时被检测发现。这种罕见的恶意软件可将自身伪装为 LogMein 服务包以隐藏其异常流量,从而隐藏针对客户数据的盗窃活动。

!!!恶意软件隐藏在LogMein DNS流量当中,旨在攻击销售点系统-E安全

UDPoS 恶意软件瞄准信用卡信息

UDPoS 的新型恶意软件家族试图将自身伪装为合法服务——LogMein 服务包,这一伪造“服务包“能够生成”非同寻常的DNS请求数量。网络安全公司 Forcepoint 进一步调查后发现,该 LogMeIn 系统实际上属于 PoS 恶意软件。

LogMeIn是什么?

LogMeIn 是一套合法的远程访问系统,这套系统能远程管理PC及其它系统。

PoS 恶意软件隐藏在负责处理并可能存储信用卡信息的系统当中,例如餐厅、商店等使用的支付系统。一旦销售点系统(即PoS机)受到感染,则其可利用 DEXTER 或 BlackPOS 等恶意软件窃取信用卡磁条上包含的支付数据,而后通过命令与控制(简称C&C)服务器将这些信息发送给幕后操纵者。

这部分信用卡信息随后会被用于通过创建复制卡、清除银行帐户甚至用于实现身份盗用

攻击过程分析

2013年,美国零售商Target公司就曾遭遇 PoS 恶意软件侵袭,并导致约1.1亿客户的信用卡信息被盗。ForcePoint方面将这项困难的调查工作称为“大海捞针”,此次新型 UDPoS 恶意软件会利用以 LogMeIn 为主题的文件名以及 C&C URL 来隐藏其基于 DNS 的传输流量。

该恶意软件的样本之一名为 logmeinumon.exe,其接入某台托管于瑞士的 C&C 服务器,且包含一个负责将提取内容的提取器以及释放至临时目录的自解压文件。之后该样本还将创建一个 LogMeInUpdService 目录,同时配合一项系统服务便可让监控组件发挥作用。研究人员们表示,“该监控组件与服务组件拥有几乎相同的结构。其由同样的Visual Studio版本进行编译,且采用相同的字符串编码技术:两个可执行文件只包含一些可识别的纯文本字符串,且采用基本加密与编码方法以隐藏字符串内容——例如C&C服务器、文件名以及硬编码进程名称。”该监控组件不仅持续追踪受感染的系统进程,同时还会检查反病毒保护与虚拟机。

一切收集到的数据——例如客户信用卡信息——都将被伪装成 LogMeIn 的 DNS 流量进行发送。

潜在影响范围

研究人员们指出,“几乎所有企业都设有防火墙及其它保护手段,用以监控并过滤基于 TCP 以及 UDP 的通信内容。然而,DNS仍然会被区别对待,这就给数据渗漏提供了良好的机会。”

Forcepoint公司强调称,使用 LogMeIn 主题只是一种伪装恶意软件活动的方式。在调查结果披露之后,目前尚无证据表明已经发生产品或服务滥用事件。

目前尚不清楚此恶意软件是否被广泛利用。不过恶意软件的编辑时间戳记录为2017年10月25日,因此其很可能是一种相对较新的攻击产物。

然而,研究人员们表示有证据表明其属于“某早期英特尔主题的变种”,这表明UDPoS很可能只是原恶意软件的下一个发展阶段。其经过调整以重新指向不同的攻击目标与受害者群体。

用户注意

LogMeIn就此次事件作出以下声明:

“相关链接、文件或可执行文件并非来自LogMeIn,LogMeIn产品的各项更新——包括补丁与更新等——将始终以安全方式在产品内交付。我们绝对不会与您直接联系并要求您更新软件,亦不会向您提供包含指向新版本或更新的附件或链接的消息。”

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。