RtPOS惡意軟體分析

POS和信用卡詐騙的惡意軟體家族經常會出現，而只有一部分會被發現。RtPOS就是新發現的惡意軟體家族。

簡介

研究人員發現一款新的POS惡意軟體—RtPOS。該惡意軟體是根據樣本（fb749c32b58fd1238f21d48ba1deb60e6fb4546f3a74e211f80a3ed005f9e046）的調試路徑命名的：

C:Users
blatDocumentsVisual Studio 2015Projects
t19Release
t19.pdb

逆向

惡意軟體中的alohae.exe會偽裝成Windows logon Service（登陸服務），這也是惡意軟體作者常用的混淆形式。還有出現的俄語代碼，下面是全部的文件元數據（metadata）：

程序只接受兩個參數「/install」和「/remove」，分別負責在受害者設備上安裝和卸載服務。這些函數在IDA中是可見的：

當提供install參數時，就會安裝WinLogon服務，並將下面的內容發送給日誌函數：

服務描述更新：

把轉變為可讀性更強的形式時，服務配置分析就類似於下面的偽代碼：

服務安裝之後， RtPOS會在被入侵的設備上重複申明可用或運行的進程。這是通過以下兩步完成的：

· 首先用CreateToolhelp32Snapshot獲取進程列表；

· 然後用Process32FirstW開始進程列表循環。

VirtualQuery (VirtualQueryEx)用於獲取進程的邊界：

最後，RtPOS用ReadProcessMemory函數來獲取被入侵系統的內容可見的許可權。獲取被入侵POS終端或其他支付處理系統的內存可見是RAM-scraping POS惡意軟體的經典特徵，因為支付卡數據未加密前保存和處理的位置就是內存空間。對內存空間的訪問許可權使RtPOS能夠傳遞還有支付卡數據的緩存信息到定製的記錄搜索演算法（track search algorithm）：

在找到track1和track2的數據後，獲取的信息將傳遞給Luhn演算法來進行驗證。RtPOS中Luhn演算法的實現在IDA的0x405a50處是可見的。

RtPOS通過Luhn演算法驗證了track1和track2的數據後，下一步就用Process32NextW來爬取數據：

如果在內存中找到成功支付的卡號，Luhn演算法就會驗證該號碼，如下圖所示：

傳遞來驗證的track1和track2的數據會保存為sql8514.dat，用於之後的數據竊取。RtPOS惡意軟體會在WindowsSysWOW64文件夾下創建一個DAT文件，並使用下面的格式字元串%02d.%02d.%04d - %02d:%02d:%02d| %s: %s
：

下圖中可用看到一個寫入RtPOS日誌文件的信用卡號碼的例子。DAT日誌行的每條記錄都含有日期和時間，用於將信息下入DAT日誌文件的進程和最後獲取的信息：

獲取下入DAT日誌文件的支付卡數據示例如下：

24.08.2018 - 14:27:36| notepad.exe: ;4888603170607238=05051011203191805191?

24.08.2018 - 14:30:05| notepad.exe: ;4305500092327108=040110110000426?

24.08.2018 - 14:30:51| notepad.exe: ;4264294318344118=04021010000044500000?

24.08.2018 - 14:30:54| notepad.exe: ;4888603170607238=05051011203191805191?

24.08.2018 - 14:30:55| notepad.exe: ;4305500092327108=040110110000426?

24.08.2018 - 14:30:55| notepad.exe: ;4264294318344118=04021010000044500000?

結論

與Project Hook、TreasureHunter這樣的惡意軟體相比，RtPOS有許多的不同，比如沒有原聲的數據竊取能力。而其他POS惡意軟體家族可用將獲取的track1和track2的數據發送會C2伺服器，而RtPOS只是將這些數據保存在本地。這樣的活動與一些POS小工具有些類似，好像是為了減少RtPOS的網路活動痕迹，確保惡意軟體能夠長期潛伏，以獲取更大的利益。RtPOS在特徵上很簡單，活動上都是自動化的，與成熟的POS惡意軟體相比，缺乏很多特徵，比如網路數據竊取特徵、交互和用戶命令特徵。RtPOS可能只是開發中的POS惡意軟體家族。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！