LogMeinDNS流量藏恶意软件,靶向攻击PoS系统

2018 年 2 月 17 日 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全2月17日讯,上周四,网络安全公司Forcepoint研究人员罗伯特·纽曼与卢克·萨摩威尔在一篇博文中表示,某一名为UDPoS的新型恶意软件家族试图将自身伪装为合法服务,从而避免在传输实效数据时被检测发现。这种罕见的恶意软件可将自身伪装为LogMein服务包以隐藏其异常流量,从而隐藏针对客户数据的进行盗窃。

UDPoS 恶意软件瞄准信用卡信息

UDPoS 的新型恶意软件家族试图将自身伪装为合法服务——LogMein 服务包,这一伪造“服务包“能够生成”非同寻常的DNS请求数量。网络安全公司 Forcepoint 进一步调查后发现,该 LogMeIn 系统实际上属于 PoS 恶意软件。

LogMeIn是什么?

LogMeIn 是一套合法的远程访问系统,这套系统能远程管理PC及其它系统。

PoS 恶意软件隐藏在负责处理并可能存储信用卡信息的系统当中,例如餐厅、商店等使用的支付系统。一旦销售点系统(即PoS机)受到感染,则其可利用 DEXTER 或 BlackPOS 等恶意软件窃取信用卡磁条上包含的支付数据,而后通过命令与控制(简称C&C)服务器将这些信息发送给幕后操纵者。

这部分信用卡信息随后会被用于通过创建复制卡、清除银行帐户甚至用于实现身份盗用。

攻击过程分析

2013年,美国零售商Target公司就曾遭遇 PoS 恶意软件侵袭,并导致约1.1亿客户的信用卡信息被盗。ForcePoint方面将这项困难的调查工作称为“大海捞针”,此次新型 UDPoS 恶意软件会利用以 LogMeIn 为主题的文件名以及 C&C URL 来隐藏其基于 DNS 的传输流量。

该恶意软件的样本之一名为 logmeinumon.exe,其接入某台托管于瑞士的 C&C 服务器,且包含一个负责将提取内容的提取器以及释放至临时目录的自解压文件。之后该样本还将创建一个 LogMeInUpdService 目录,同时配合一项系统服务便可让监控组件发挥作用。研究人员们表示,“该监控组件与服务组件拥有几乎相同的结构。其由同样的Visual Studio版本进行编译,且采用相同的字符串编码技术:两个可执行文件只包含一些可识别的纯文本字符串,且采用基本加密与编码方法以隐藏字符串内容——例如C&C服务器、文件名以及硬编码进程名称。”该监控组件不仅持续追踪受感染的系统进程,同时还会检查反病毒保护与虚拟机。

一切收集到的数据——例如客户信用卡信息——都将被伪装成 LogMeIn 的 DNS 流量进行发送。

潜在影响范围

研究人员们指出,“几乎所有企业都设有防火墙及其它保护手段,用以监控并过滤基于 TCP 以及 UDP 的通信内容。然而,DNS仍然会被区别对待,这就给数据渗漏提供了良好的机会。”

Forcepoint公司强调称,使用 LogMeIn 主题只是一种伪装恶意软件活动的方式。在调查结果披露之后,目前尚无证据表明已经发生产品或服务滥用事件。

目前尚不清楚此恶意软件是否被广泛利用。不过恶意软件的编辑时间戳记录为2017年10月25日,因此其很可能是一种相对较新的攻击产物。

然而,研究人员们表示有证据表明其属于“某早期英特尔主题的变种”,这表明UDPoS很可能只是原恶意软件的下一个发展阶段。其经过调整以重新指向不同的攻击目标与受害者群体。

用户注意

LogMeIn就此次事件作出以下声明:

“相关链接、文件或可执行文件并非来自LogMeIn,LogMeIn产品的各项更新——包括补丁与更新等——将始终以安全方式在产品内交付。”

“我们绝对不会与您直接联系并要求您更新软件,亦不会向您提供包含指向新版本或更新的附件或链接的消息。”

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/379937809.shtml

荐阅读:

点击阅读原文” 查看更多精彩内容

登录查看更多
0

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
76+阅读 · 2020年4月24日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
小米Note3 ‖ 国产首款支持人脸解锁手机
机械鸡
4+阅读 · 2017年9月12日
Neural Arithmetic Logic Units
Arxiv
5+阅读 · 2018年8月1日
Arxiv
4+阅读 · 2018年4月30日
VIP会员
相关资讯
Top
微信扫码咨询专知VIP会员