PoS端恶意软件LockPoS携新型代码注入技术强势回归

专题库
来源:嘶吼RoarTalk 2018-01-12 09:30:06 恶意软件 信息安全

核心提示网络安全公司Cyberbit的研究人员表示,PoS端恶意软件LockPoS已经开始利用新的代码注入技术来危害系统安全。

PoS端恶意软件LockPoS携新型代码注入技术强势回归

  网络安全公司Cyberbit的研究人员表示,PoS端恶意软件LockPoS已经开始利用新的代码注入技术来危害系统安全。

  LockPoS恶意软件最初在去年7月份被安全研究人员发现,并进行了详细地介绍,当时,研究人员发现LockPoS恶意软件能够从连接到PoS信用卡扫描器的计算机中读取正在运行的进程的内存,并收集信用卡数据,然后将其发送到命令和控制(C&C)服务器中。

  根据之前的分析结果显示,LockPoS恶意软件是通过利用直接注入到explorer.exe 进程中的滴管组件进行传播的。需要注意的是,LockPoS必须通过手动加载来执行,然后再通过从自身提取的多个组件继续下载充当第二阶段的加载器。紧接着,恶意代码会进行解密、解压以及加载最终版本的 LockPoS有效载荷。

  但是近日,来自Cyberbit的研究人员却发现,该恶意软件正在使用一种新的代码注入方法,该方法看起来像是Flokibot PoS恶意软件之前使用的一种注入技术的新变种。这两种恶意软件均以PoS终端为攻击目标,且共享相同的僵尸网络分发机制,所以存在相似之处并不足为奇。

  研究人员指出,LockPoS采用的注入技术之一就是在内核中创建一个“节(section)”对象,然后调用一个函数将该节的视图映射到另一个进程中,再将代码复制到该节并创建一个远程线程来执行映射的代码。

  LockPoS被观察到使用三个主要的例程来将代码注入到远程进程中,即NtCreateSection、NtMapViewOfSection以及NtCreateThreadEx,而所有这三个例程都是从Windows操作系统中的核心动态链接库(DLL)文件ntdll.dll中导出的。

  但是,该恶意软件并不会直接调用上述的三个例程,而是将ntdll.dll从磁盘映射到自己的虚拟地址空间,从而使其能够维护DLL文件的“干净”副本。此外,LockPoS还分配一个缓冲区来保存系统呼叫号码,将恶意代码复制到共享映射区,然后在explorer.exe中创建一个远程线程来执行其恶意代码。

  对ntdll.dll不了解的这里特别解释一下:

  ntdll.dll是重要的Windows NT内核级文件,描述了windows本地NTAPI的接口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。

  通过使用这种“静默”的恶意软件注入技术,该恶意软件能够逃避反恶意软件可能安装在ntdll.dll上的挂钩(hook),从而增加成功攻击的可能性。

  Cyberbit的恶意软件分析师Hod Gavriel解释说:

  这种新的恶意软件注入技术表明,一种‘以新的方式来使用旧的序列’的新趋势可能正在形成,这使得检测变得更加困难。

  尽管大多数端点检测和响应(EDR)解决方案以及下一代防病毒产品已经能够在用户模式下监视Windows功能,但是在Windows 10系统中,由于内核空间始终被守护着,所以无法对内核函数进行监视。研究人员表示,为了确保成功检测,应该进一步改善内存分析。

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网