實(shí)現(xiàn)比較字符串功能的代碼如下所示:
一旦發(fā)現(xiàn)某個(gè)進(jìn)程名不在白名單中����,就會(huì)利用函數(shù)WriteProcessMemory將代碼注入到該進(jìn)程的內(nèi)存空間����。Shellcode所做的第一件事就是尋找kernel32的基地址����,利用其開(kāi)始創(chuàng)建導(dǎo)入模塊。尋找kernel32的方法在很多博客中都已經(jīng)總結(jié)的很詳細(xì)了����。
一旦發(fā)現(xiàn)了基地址,shellcode將開(kāi)始通過(guò)自己的哈希技術(shù)重建入口����。一些哈希和對(duì)應(yīng)值的列表如下所示。
建立入口之后����,惡意軟件會(huì)以文件名.mailslotLogCC為參數(shù)調(diào)用函數(shù)CreateFileA來(lái)獲取一個(gè)用于寫(xiě)操作的文件句柄。
當(dāng)掃描內(nèi)存時(shí)����,惡意軟件將使用一個(gè)自定義搜索算法來(lái)查找跟蹤信息的常見(jiàn)的標(biāo)志。
然后����,將找到的信息傳遞給實(shí)現(xiàn)的Luhn算法來(lái)進(jìn)行驗(yàn)證����。一旦此信息有效����,則它們將會(huì)被發(fā)送到郵件槽中,以供后面主程序的讀取����。當(dāng)按順序增加一個(gè)數(shù)字后,惡意軟件將創(chuàng)建一個(gè)格式化字符串����,并將該信息發(fā)送到遠(yuǎn)程站點(diǎn)上。
然后����,數(shù)據(jù)被發(fā)送到遠(yuǎn)程站點(diǎn)上(通過(guò)HTTP的GET方法)。
站點(diǎn)接收到的內(nèi)容會(huì)被存放在一個(gè)表單中(在寫(xiě)本文時(shí)����,表單內(nèi)容并未加密)。表單中大部分的號(hào)碼都在rdpclip和notepad的進(jìn)程空間中,所以我們猜想可能該惡意軟件作者正在測(cè)試他們的代碼����。相應(yīng)內(nèi)容和相關(guān)IP信息的截圖如下圖所示。
檢測(cè)方法
因?yàn)長(zhǎng)ogPOS并不是通過(guò)掃描文件來(lái)獲取未加密的信用卡信息����,而是利用郵件槽的方法����,所以它能夠避開(kāi)傳統(tǒng)的檢測(cè)機(jī)制。然而����,如果使用類(lèi)似yara這樣的工具的話,將能夠很容易地檢測(cè)到該惡意軟件的各種變體����。下面的規(guī)則將能夠幫助你在網(wǎng)絡(luò)中找到這個(gè)惡意工具。
rule LogPOS
{ meta:
author = "Morphick Security"
description = "Detects Versions of LogPOS"
md5 = "af13e7583ed1b27c4ae219e344a37e2b"
strings:
$mailslot = "\.mailslotLogCC"
$get = "GET /%s?encoding=%c&t=%c&cc=%I64d&process="
//64A130000000 mov eax, dword ptr fs:[0x30]
//8B400C mov eax, dword ptr [eax + 0xc]
//8B401C mov eax, dword ptr [eax + 0x1c]
//8B4008 mov eax, dword ptr [eax + 8]
$sc = {64 A1 30 00 00 00 8B 40 0C 8B 40 1C 8B 40 08 }
condition:
$sc and 1 of ($mailslot,$get)
}
小編推薦閱讀
