LogMeinDNS流量藏惡意軟體，靶向攻擊PoS系統

E安全2月17日訊，上周四，網路安全公司Forcepoint研究人員羅伯特·紐曼與盧克·薩摩威爾在一篇博文中表示，某一名為UDPoS的新型惡意軟體家族試圖將自身偽裝為合法服務，從而避免在傳輸實效數據時被檢測發現。這種罕見的惡意軟體可將自身偽裝為LogMein服務包以隱藏其異常流量，從而隱藏針對客戶數據的進行盜竊。

UDPoS 惡意軟體瞄準信用卡信息

UDPoS 的新型惡意軟體家族試圖將自身偽裝為合法服務——LogMein 服務包，這一偽造「服務包「能夠生成」非同尋常的DNS請求數量。網路安全公司 Forcepoint 進一步調查後發現，該 LogMeIn 系統實際上屬於 PoS 惡意軟體。

LogMeIn是什麼？

LogMeIn 是一套合法的遠程訪問系統，這套系統能遠程管理PC及其它系統。

PoS 惡意軟體隱藏在負責處理並可能存儲信用卡信息的系統當中，例如餐廳、商店等使用的支付系統。一旦銷售點系統（即PoS機）受到感染，則其可利用 DEXTER 或 BlackPOS 等惡意軟體竊取信用卡磁條上包含的支付數據，而後通過命令與控制（簡稱C&C）伺服器將這些信息發送給幕後操縱者。

這部分信用卡信息隨後會被用於通過創建複製卡、清除銀行帳戶甚至用於實現身份盜用。

攻擊過程分析

2013年，美國零售商Target公司就曾遭遇 PoS 惡意軟體侵襲，並導致約1.1億客戶的信用卡信息被盜。ForcePoint方面將這項困難的調查工作稱為「大海撈針」，此次新型 UDPoS 惡意軟體會利用以 LogMeIn 為主題的文件名以及 C&C URL 來隱藏其基於 DNS 的傳輸流量。

該惡意軟體的樣本之一名為 logmeinumon.exe，其接入某台託管於瑞士的 C&C 伺服器，且包含一個負責將提取內容的提取器以及釋放至臨時目錄的自解壓文件。之後該樣本還將創建一個 LogMeInUpdService 目錄，同時配合一項系統服務便可讓監控組件發揮作用。研究人員們表示，「該監控組件與服務組件擁有幾乎相同的結構。其由同樣的Visual Studio版本進行編譯，且採用相同的字元串編碼技術：兩個可執行文件只包含一些可識別的純文本字元串，且採用基本加密與編碼方法以隱藏字元串內容——例如C&C伺服器、文件名以及硬編碼進程名稱。」該監控組件不僅持續追蹤受感染的系統進程，同時還會檢查反病毒保護與虛擬機。

一切收集到的數據——例如客戶信用卡信息——都將被偽裝成 LogMeIn 的 DNS 流量進行發送。

潛在影響範圍

研究人員們指出，「幾乎所有企業都設有防火牆及其它保護手段，用以監控並過濾基於 TCP 以及 UDP 的通信內容。然而，DNS仍然會被區別對待，這就給數據滲漏提供了良好的機會。」

Forcepoint公司強調稱，使用 LogMeIn主題只是一種偽裝惡意軟體活動的方式。在調查結果披露之後，目前尚無證據表明已經發生產品或服務濫用事件。

目前尚不清楚此惡意軟體是否被廣泛利用。不過惡意軟體的編輯時間戳記錄為2017年10月25日，因此其很可能是一種相對較新的攻擊產物。

然而，研究人員們表示有證據表明其屬於「某早期英特爾主題的變種」，這表明UDPoS很可能只是原惡意軟體的下一個發展階段。其經過調整以重新指向不同的攻擊目標與受害者群體。

用戶注意

LogMeIn就此次事件作出以下聲明：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！