导语:从三月份开始,恶意POS软件—— “TreasureHunt”的源代码开始在俄语黑客论坛上出现。不仅TreasureHunt的源代码泄露,恶意软件的图形用户界面构建器和管理员面板的源代码也一样被泄露。
Flashpoint的高级情报分析师Vitali Kremez在上周四发布的一篇技术文章中称,从三月份开始,恶意POS软件—— “TreasureHunt”的源代码开始在俄语黑客论坛上出现。
不仅TreasureHunt的源代码泄露,恶意软件的图形用户界面构建器和管理员面板的源代码也一样被泄露。
Vitali Kremez在文章中写道:
这两个代码库的泄露降低了网络犯罪分子进入的门槛,他们希望利用这些漏洞来构建自己的POS恶意软件变种。
TreasureHunt的历史
TreasureHunt又称TreasureHunter,该恶意软件可以窃取用户的信用卡信息然后在地下黑市出售窃取到的用户信息。安全研究人员根据证据表明该恶意软件可以追溯到2014年,最开始TreasureHunt是由SANS institute安全研究人员发现的,该恶意软件可以通过创建互斥体的来躲避追查。
根据独立安全工程师Arnaud Delmas http://adelmas.com/blog/treasurehunter.php在2017年进行的一项分析,该恶意软件其实就是一种普通的软件,完全依靠易失性存储器(Random Access Memory,RAM)来窃取信用卡主账户号码,它也没有任何hook功能。
Arnaud Delmas 表示:
我观察到,在犯罪分子最初成功地将该软件感染到受害者远程桌面协议(RDP)服务器后,它们会被部署在被攻击的销售点的POS设备上。
根据Flashpoint的研究人员分析,这款恶意软件很可能是由一个名为“熊公司(Bears Inc.)”的地下网络组织开发的,该公司主要从事低端至中端的黑客业务,并其主要业务是在carding社区展开的。CardingMafia.ws是一个Carding(信用卡盗刷)社区,为诈骗者提供非常有价值的教程及其他信息。根据CSID安全团队的调查显示,用户可以在CardingMafia.ws中找到如何诈骗用户、破解软件以及盗取信用卡的相关教程。据FireEye 2016年的一份报告显示,TreasureHunt其实就是TreasureHunter,该软件是由恶意软件开发者Jolly Roger专门为Bears Inc.开发的。
为什么TREASUREHUNT如此受黑客欢迎?
简而言之,TREASUREHUNT就是为黑客特别定制的POS恶意软件工具。
自2015年开始,POS恶意软件的数量就不断增长,这种软件一般都是将窃取的银行卡信息上传到一个指定的CNC服务器上。
虽然2015年10月PCI DSS标准发生了改变,但是目前仍然有很多零售商处于启用芯片卡技术的过渡期。于是犯罪分子们就将目光放在了商家使用的POS系统。 仅2015年就发现超过十几种POS恶意软件。
POS恶意软件现在分为三类:免费,按价支付以及犯罪分子自己特制。其中,免费工具通常会因为恶意软件源代码的泄露,而导致的大面积扩散或各种自定义版本(本文就是此种情况)。而购买的POS恶意软件一般是最新开发的或是通过修改旧版本而来的工具,最后一种则是由一个威胁组独自开发的,成本较高。
危害性评估
所以研究人员担心的首要问题是泄漏的源代码会产生一波新的POS攻击,自2011年起,臭名昭着的Zeus软件工具包的源代码被泄露后,就引发了一系列类似的银行木马的攻击浪潮,其中包括称为流行的Citadel木马,这种木马首次发现于2012年,就是基于银行木马Zeus的源代码进一步修改的。Citadel会在被感染的机器上窃取个人信息,包括银行和财务数据,目前由其攻击所造成的损失已超过1亿美元。
Kremez写道:
毫无疑问,POS恶意软件的源代码泄露,也必定会产生类似的可怕后果,最明显的是2015年的Alina恶意软件泄露,直接导致了ProPOS和Katrina变体的出现。
FireEye的专家分析了这些恶意软件后发现,黑客会利用弱口令入侵PoS系统。一旦TreasureHunt恶意软件感染系统,它会将自身安装到“%APPDATA%”目录中并通过创建注册表项来保证驻留系统:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck
对TreasureHunt的研究并不是很顺利,起初研究人员对其中的恶意代码究竟发挥何作用并不是很清楚,因为这些代码进行了很多精心的处理。 按着Kremez的说法:
通常情况下,各种攻击软件都会这样做,这都是为了阻止可能的检测、调查和分析,例如Mirai和Zeus源代码泄露。
对TreasureHunt的未来防护
目前唯一与代码泄露有关的好消息就是,调查人员将根据这些源代码,对恶意软件及其运行方式进行更深入的了解和研究,这让安全公司更方便地了解病毒运作过程,从而采取相应对策。Kremez说:
自2014年以来,TreasureHunt就一直被我们进行分析和追踪,期间我们也进行过逆向工程,希望获得其源代码并进行分析。而现在,随着源代码的公布,分析人员可以对以前不了解的情况有更清晰的认知。这有助于研究人员了解它们的编码思维和操作风格,为将来的可能攻击作出预判。
通过对代码的分析以及对相关的黑客论坛进行跟踪,研究人员发现已有人开始对TreasureHunt进行改造了,这在论坛上被称为“trhutt34C,”代码项目。
Flashpoint分析显示,这些开发人员打算改进和重新设计TreasureHunt的各种功能,包括反调试,代码结构改进和通信逻辑。这意味着,新的一场攻防战即将全面拉开。