近幾年P(guān)OS惡意軟件活動(dòng)頻繁��,本文就2015年發(fā)現(xiàn)的一個(gè)新成員LogPOS樣本進(jìn)行分析�����。該惡意軟件的一個(gè)重要的特點(diǎn)是其利用了郵件槽��,可以躲避傳統(tǒng)的檢測(cè)機(jī)制��。
此外�,在該樣本中,主程序創(chuàng)建了郵件槽����,并作為郵件槽服務(wù)器,而注入到各個(gè)進(jìn)程中的代碼則作為客戶(hù)端����,它們將獲取到的信用卡號(hào)碼寫(xiě)入郵件槽,然后通過(guò)郵件槽直接將數(shù)據(jù)傳輸出去��。
前言
在這之前����,已經(jīng)有過(guò)一次POS惡意軟件的惡意活動(dòng)�。
2014年��,Jeremy Humble和我發(fā)現(xiàn)了2個(gè)未曾曝光過(guò)的POS惡意軟件家族��,接著在2015年我們又發(fā)現(xiàn)了一個(gè)POS惡意軟件的新家族����。這次發(fā)現(xiàn)的惡意軟件我們命名為“LogPOS”�����,它跟前段時(shí)間發(fā)現(xiàn)的POS惡意軟件有幾個(gè)顯著的差異���。
在本文接下來(lái)的部分中����,我們將對(duì)LogPOS進(jìn)行詳細(xì)分析�,該樣本哈希值為:
af13e7583ed1b27c4ae219e344a37e2b。
好特科普:郵件槽(Mailslots)
Windows系統(tǒng)中提供了幾種進(jìn)程間通信的方式��,郵件槽(Mailslots)就是其中的一種�。
郵件槽提供進(jìn)程間單向通信能力,任何進(jìn)程都能建立郵件槽成為郵件槽服務(wù)器����。其它進(jìn)程����,稱(chēng)為郵件槽客戶(hù)�,可以通過(guò)郵件槽的名字給郵件槽服務(wù)器進(jìn)程發(fā)送消息。進(jìn)來(lái)的消息一直放在郵件槽中��,直到服務(wù)器進(jìn)程讀取它為止����。一個(gè)進(jìn)程既可以是郵件槽服務(wù)器也可以是郵件槽客戶(hù),因此可建立多個(gè)郵件槽實(shí)現(xiàn)進(jìn)程間的雙向通信��。
通過(guò)郵件槽可以給本地計(jì)算機(jī)上的郵件槽�����、其它計(jì)算機(jī)上的郵件槽或指定網(wǎng)絡(luò)區(qū)域中所有計(jì)算機(jī)上有同樣名字的郵件槽發(fā)送消息����。廣播通信的消息長(zhǎng)度不能超過(guò)400字節(jié),非廣播消息的長(zhǎng)度則受郵件槽服務(wù)器指定的最大消息長(zhǎng)度的限制���。
郵件槽與命名管道相似��,不過(guò)它傳輸數(shù)據(jù)是通過(guò)不可靠的數(shù)據(jù)報(bào)(如TCP/IP協(xié)議中的UDP包)完成的��,一旦網(wǎng)絡(luò)發(fā)生錯(cuò)誤則無(wú)法保證消息正確地接收�。不過(guò)郵件槽有簡(jiǎn)化的編程接口和給指定網(wǎng)絡(luò)區(qū)域內(nèi)的所有計(jì)算機(jī)廣播消息的能力����,所以郵件槽不失為應(yīng)用程序發(fā)送和接收消息的一種好的選擇。
小編推薦閱讀
