深入分析新型POS机木马LogPOS

深入分析

几乎在看到该样本的那一刻，一个字符串在我脑海中浮现出来：

.mailslotLogCC。

在大多数的POS变种中，都是利用一个进程读取其他进程的内存，然后将发现的跟踪数据写入到日志中。因为LogPOS将代码注入到了各种进程中，然后令其搜索各个进程的内存，所以此时无法使用日志，因为它们不能同时以写入访问模式打开同一个文件。所以，LogPOS选择使用了邮件槽。

使用邮件槽进行通信或存储对恶意软件来说并不是一种新机制，在火眼（FireEye）关于APT28的一份报告中，它提到该组织曾使用过邮件槽“check_mes_v5555”。邮件槽是一种IPC机制，它允许多个客户端向服务器发送消息。在本文所分析的样本中，主程序创建了邮件槽，并作为邮件槽服务器，而注入到各个进程中的代码则作为客户端，它们将获取到的信用卡号码写入邮件槽，然后通过邮件槽直接传输到C2。

在程序执行的开始处，程序以邮件槽名字.mailslotLogCC为参数调用了CreateMailslotA函数。

如果邮件槽创建失败，程序将会退出；否则，程序将进入一个无限循环，并按顺序执行下面的函数：

1、休眠500毫秒 

2、遍历进程    

（1）与白名单进行比较    

（2）将shellcode注入到进程中（如果不在白名单中）    

（3）扫描信用卡跟踪信息    

（4）使用Luhn算法进行验证 

3、读取邮件槽 

4、将数据发送出去

最有趣的是注入的代码，所以接下来我们将更详细地对其进行分析。

在遍历进程（如上所述）时，恶意软件会将进程名与白名单进行比对，白名单主要包含以下名字：

windbg.exe logounui.exe taskmgr.exe skype.exe thunderbird.exe devenv.exe steam.exe winlogon.exe wininit.exe csrss.exe smss.exe svchost.exe firefox.exe chrome.exe explorer.exe psi.exe pidgin.exe System