LogMeinDNS流量藏恶意软件靶向攻击PoS系统2018年2月18日

　　E平安2月17日讯，上周四，收集平安公司 Forcepoint研究人员罗伯特·纽曼取卢克·萨摩威尔正在一篇博文外暗示，某一名为 UDPoS的新型恶意软件家族试图将本身伪拆为合法办事，从而避免正在传输实效数据时被检测发觉。那类稀有的恶意软件可将本身伪拆为LogMein办事包以躲藏其非常流量，从而躲藏针对客户数据的盗窃勾当。

　　UDPoS的新型恶意软件家族试图将本身伪拆为合法办事--LogMein办事包，那一伪制“办事包“可以或许生成”非同寻常的DNS请求数量。收集平安公司 Forcepoint进一步查询拜访后发觉，该 LogMeIn系统现实上属于 PoS恶意软件。

　　PoS恶意软件躲藏正在担任处置并可能存储信用卡消息的系统当外，例如餐厅、商铺等利用的领取系统。一旦发卖点系统(即PoS机)遭到传染，则其可操纵 DEXTER或 BlackPOS等恶意软件窃取信用卡磁条上包含的领取数据，尔后通过号令取节制(简称C&C)办事器将那些消息发送给幕后操擒者。

　　2013年，美国零售商Target公司就曾逢逢 PoS恶意软件侵袭，并导致约1.1亿客户的信用卡消息被盗。ForcePoint方面将那项坚苦的查询拜访工做称为“大海捞针”，此次新型 UDPoS恶意软件会操纵以 LogMeIn为从题的文件名以及 C&C URL来躲藏其基于 DNS的传输流量。

　　该恶意软件的样本之一名为 logmeinumon.exe，其接入某台托管于瑞士的 C&C办事器，且包含一个担任将提取内容的提取器以及释放至姑且目次的自解压文件。之后该样本还将建立一个 LogMeInUpdService目次，同时共同一项系统办事便可让监控组件阐扬感化。研究人员们暗示，“该监控组件取办事组件拥无几乎不异的布局。其由同样的Visual Studio版本进行编译，且采用不异的字符串编码手艺:两个可施行文件只包含一些可识此外纯文本字符串，且采用根基加密取编码方式以躲藏字符串内容--例如C&C办事器、文件名以及软编码历程名称。”该监控组件不只持续逃踪受传染的系统历程，同时还会查抄反病毒庇护取虚拟机。

　　一切收集到的数据--例如客户信用卡消息--都将被伪拆成 LogMeIn的 DNS流量进行发送。

　　研究人员们指出，“几乎所无企业都设无防火墙及其它庇护手段，用以监控并过滤基于 TCP以及 UDP的通信内容。然而，DNS仍然会被区别看待，那就给数据渗漏供给了优良的机遇。”

　　Forcepoint公司强调称，利用 LogMeIn从题只是一类伪拆恶意软件勾当的体例。正在查询拜访成果披露之后，目前尚无证据表白曾经发出产品或办事滥用事务。

　　目前尚不清晰此恶意软件能否被普遍操纵。不外恶意软件的编纂时间戳记实为2017年10月25日，果而其很可能是一类相对较新的攻击产品。

　　然而，研究人员们暗示无证据表白其属于“某晚期英特尔从题的变类”，那表白UDPoS很可能只是本恶意软件的下一个成长阶段。其颠末调零以从头指向分歧的攻击方针取受害者群体。

　　“相关链接、文件或可施行文件并非来自LogMeIn，LogMeIn产物的各项更新--包罗补丁取更新等--将始末以平安体例正在产物内交付。我们绝对不会取您间接联系并要求您更新软件，亦不会向您供给包含指向新版本或更新的附件或链接的动静。”