【技术分享】ScanPOS，通过Kronos传播的新型POS恶意软件

【技术分享】ScanPOS，通过Kronos传播的新型POS恶意软件

2016-12-23 15:32:32
来源：morphick.com 作者：shan66

阅读：945次
点赞(0)
收藏

【技术分享】ScanPOS，通过Kronos传播的新型POS恶意软件

翻译：shan66

预估稿费：100RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

不久前，安全研究人员又发现了一个全新POS恶意软件家族——ScanPOS。

安全研究人员在分析Kronos网络钓鱼活动过程中，发现了一个含有下载银行恶意软件Kronos的恶意宏指令的相关文档。当Kronos运行时，它的payload将进一步下载另外几种恶意软件，但是引起他们注意的是一种新型的信用卡转储软件，该软件的检测难度非常大。根据在这款恶意软件中发现的字符串，安全研究人员将其正式命名为ScanPOS，以便于进行持续的跟踪和研究。

C:\Users\example\documents\visualstudio2010\Projects\scan3\Release\scan3.pdb

在写这篇文章的时候，ScanPOS在Virustotal网站上的检出率只有1/55：

ScanPOS是一个新的银行恶意软件家族。虽然它的基本功能与其他POS恶意软件基本相同，但它的隐身功能却是非常出色的。为了逃避杀毒软件的检测，ScanPOS软件做的非常小，这可以帮助轻松混入生产环境中。当代码被过度加壳后，反而容易被通用的启发式算法所捕获。

网络钓鱼：

实际上，Kronos是通过非常简单的网络钓鱼邮件来传播这款新型恶意软件的，电子邮件的内容如下所示：

AnEmployeehasjustbeenterminated. Name:TannerWilliamson Employeeprofile:EmployeeID-6283.doc Emplid:2965385 Rcd#:0 TerminationDate:11/17/2016

相关的邮件头部如下所示：

TIME-STAMP:"16-11-14_13.44.23" CONTENT-DISPOSITION:"attachment;filename='EmployeeID-6283.doc'" X-VIRUS-SCANNED:"Debianamavisd-newathosting5.skyinet.pl" Subject:AnEmployeehasjustbeenterminated. From:HR<johns.brueggemann@banctec.com> Mail-From:web1@hosting5.skyinet.pl 1strec:hosting23.skyinet.pl 2ndrec:hosting23.skyinet.pl

当EmployeID-6283.doc启用宏时，那么将下载Kronos的Payload：

profile.excel-sharepoint[.]com/doc/office.exe

下载完成后，就会执行它。之后，Kronos将通过下面的地址来下载并执行ScanPOS

http://networkupdate[.]online/kbps/upload/a8b05325.exe.

转储信用卡信息：

在执行时，该恶意软件将获取有关当前进程的信息并让用户调用GetUserNameA。同时，它还会通过SeDebugPrivilege（见下文）来进行权限检查，以确保该恶意软件有权查看其他进程的内存空间。