一個名為LockPos的惡意軟體使用了一種新的注入技術來逃避殺軟的檢測

Pierluigi Paganini 2018.01.10

---

Cyber​​bit的安全研究人員發現了一種新的惡意軟體注入技術，此技術被使用到一個名為LockPoS的惡意軟體中，LockPoS是Flokibot惡意軟體的一個變種。

銷售終端（PoS）惡意軟體是一種惡意的應用程式，它從連線到信用卡裝置的計算機的記憶體中竊取信用卡資料。 一旦系統被感染， LockPoS惡意軟體就會試圖去獲得訪問許可權並讀取當前正在使用的程式的記憶體，並開始搜尋信用卡資訊資料，搜尋到之後將這些資料傳送到其命令和控制伺服器（C&C）。

Cyberbit釋出的分析中指出：“Cyber​​bit惡意軟體研究人員最近發現了LockPoS，其使用了一種隱秘的新型惡意軟體注入技術。而LockPos似乎是Flokibot惡意軟體的新變種"。

“LockPoS是一種銷售終端（PoS）惡意軟體，其從信用卡掃描器裝置中的內嵌計算機的記憶體中竊取信用卡資料。 LockPos讀取系統當前正在執行的程式的記憶體，搜尋疑似信用卡資訊的資料，然後將它們傳送給C＆C”。

被使用來傳播Flokibot的殭屍網路也被使用來傳播LockPoS。並且它們的原始碼有一些相似之處，在這個層面上，需要注意到的是，此惡意軟體有一些用來解壓縮（unpack）和解密不同的技術和例程的行為（stage）來呼叫與Flokibot的注入相關的API。

Cyber​​Bit發現的PoS惡意軟體有三個主要的API用於遠端注入：NtCreateSection，NtMapViewOfSection和NtCreateThreadEx。 注入技術中使用了Windows系統原生的核心dll檔案ntdll.dll。 與ntdll相關的（字首為“NT”）Windows API被使用來分離使用者空間和核心空間。 注入技術涉及使用NtCreateSection在核心中建立一個段物件（section object），然後呼叫NtMapViewOfSection來把其他程式中的段轉化成一個對映來檢視其他程式中的段記憶體，然後將程式碼複製到自己的某個段中，最後使用NtCreateThreadEx或CreateRemoteThread API建立一個遠端執行緒來執行這些段中的程式碼。

一旦來自ntdll的例程被呼叫，系統呼叫編號的十六進位制值就會被複制到EAX暫存器中，這是一條指令使執行緒跳轉到核心模式。 然後核心根據EAX暫存器的值來執行相關例程，使用者棧中的引數將會被複制到核心棧中並繼續執行。

惡意軟體不會呼叫ntdll中的API來注入程式碼，以避免反病毒軟體的檢測。而是將磁碟上ntdll的相關API函式程式碼對映到自己的虛擬地址空間。 透過這樣做，惡意軟體會保留一個乾淨的dll副本，而防病毒軟體不會檢測到這個副本。

而且，Cyber​​bit的研究人員注意到，惡意軟體為explorer.exe程式呼叫NtMapViewOfSection函式（原文：a call to NtMapViewOfSection is handled by the malware for the process of explorer.exe.）。

分析總結道，“LockPoS惡意軟體使用到的注入技術涉及使用NtCreateSection在核心中建立一個段物件（section object），呼叫NtMapViewOfSection將該段的程式碼對映到另一個程式，將程式碼複製到該段並使用NtCreateThreadEx或CreateRemoteThread 建立一個遠端執行緒來執行對映的程式碼。 ”。

安全研究人員報告還指出，由於Windows 10核心函式呼叫無法被監控，所以改進記憶體分析是唯一有效的檢測方法。

資料來源：
https://www.cyberbit.com/new-lockpos-malware-injection-technique/
https://www.scmagazine.com/lockpos-malware-adopts-injection-technique-to-evade-detection/article/735425/
https://www.infosecurity-magazine.com/news/lockpos-takes-a-page-from-flokibot/
http://www.securityweek.com/lockpos-adopts-new-injection-technique
https://www.scmagazineuk.com/lockpos-malware-adopts-injection-technique-to-evade-detection/article/735729/
http://newsroom.trendmicro.com/news/endpoint/lockpos-malware-sneaks-onto-kernel-via-new-injection-technique/d/d-id/1330757
https://securityonline.info/lockpos-malware-use-new-injection-technology-to-sneaks-onto-kernel/
https://vulners.com/threatpost/NEW-POINT-OF-SALE-MALWARE-LOCKPOS-HITCHES-RIDE-WITH-FLOKIBOT/126795
https://www.darkreading.com/endpoint/lockpos-malware-sneaks-onto-kernel-via-new-injection-technique/d/d-id/1330757

---

原文連結：http://securityaffairs.co/wordpress/67601/breaking-news/lockpos-pos-malware-injection.html
本文由看雪翻譯小組 knowit 編譯

---

首款由Kotlin編寫的安卓惡意軟體

Trend Micro聲稱在Kotlin程式語言中發現了首款安卓惡意軟體家族。

Kotlin是一種在Java虛擬機器上執行的靜態型別程式語言，它也可以被編譯成為JavaScript原始碼。它主要是由俄羅斯聖彼得堡的JetBrains開發團隊所發展出來的程式語言，其名稱來自於聖彼得堡附近的科特林島。2012年1月，著名期刊《Dr. Dobb's Journal》中Kotlin被認定為該月的最佳語言。雖然與Java語法並不相容，但Kotlin被設計成可以和Java程式碼相互運作，並可以重複使用如Java集合框架等的現有Java類庫。

該惡意軟體隱藏在Google Play官方商店的一款安卓應用中，偽裝成一款手機最佳化清潔APP，成為Swift Cleaner。

目前還未給該惡意軟體命名，不過其在惡意APP中，被發現時，表現為ANDROIDOS_BKOTKLIND.HRX。但是安全研究員發現在被感染的手機中，惡意軟體以下列名字的方式出現：

• com.pho.nec.sg.app.cleanapplication
• com.pho.nec.pcs
• com.pho.nec.sg

目前谷歌已將攜帶有惡意軟體的Swift Cleaner app從Google Play官方商店中移除。

廣告點選和SMS詐騙

該惡意軟體有很多特點，但是攻擊者只用了幾個。根據本週釋出的報告顯示，攻擊者透過被感染的手機，點選廣告，並秘密訂閱該手機最高SMS訊息數量。

最引人注意的是，該惡意軟體還可以繞過由一些SMS服務商所設定的CAPCHA。

另外該惡意軟體還可以遠端執行命令、竊取資訊、傳送SMS和轉接URL。

到目前為止，我們已經發現的所有安卓惡意軟體都由Java編寫。此次惡意軟體由Kotlin編寫並不很吃驚，因為Kotlin這款程式語言已成為第二大程式語言，許多專家都預測它將成為編寫安卓APP的主流程式語言。

來源：bleepingcomputer

本文由看雪翻譯小組 哆啦咪 編譯