LusyPOS是一款針對(duì)零售商POS機(jī)的新型惡意軟件，目前以2000美元的售價(jià)開(kāi)始在地下市場(chǎng)販賣。在55種反病毒引擎中，有30種檢測(cè)LusyPOS為惡意軟件(檢測(cè)報(bào)告)。

愈演愈烈的POS機(jī)網(wǎng)絡(luò)犯罪

自2013年來(lái)，我們發(fā)現(xiàn)來(lái)自POS惡意軟件的威脅急劇性的增長(zhǎng)。這次增長(zhǎng)類似于其他市場(chǎng)的變化規(guī)律-因?yàn)榱闶劬W(wǎng)絡(luò)中存留了大量的金融數(shù)據(jù)。攻擊者正在調(diào)整槍口，集結(jié)力量，向要害部位發(fā)起攻擊。

結(jié)合最新技術(shù)的新型POS機(jī)惡意軟件

安全研究人員稱LusyPOS是一個(gè)新型的惡意軟件，比以往此類型惡意軟件在體積上都要大。逆向工程師Nick Hoffman和Jeremy Humble認(rèn)為L(zhǎng)usyPOS結(jié)合了Dexter的特性和Chewbacca的技術(shù)。

Dexter：首次披露是在2012年12月，它被認(rèn)為是由一個(gè)名為“dice”的開(kāi)發(fā)者開(kāi)發(fā)出來(lái)的。而這個(gè)工具的實(shí)際使用卻跟一個(gè)名為“Rome0”的個(gè)體有關(guān)。該惡意軟件遍歷正在運(yùn)行的進(jìn)程，訪問(wèn)內(nèi)存來(lái)搜索支付卡數(shù)據(jù)，然后通過(guò)HTTP傳送數(shù)據(jù)。

ChewBacca：首此被公布是在2013年11月。該惡意軟件枚舉正在運(yùn)行的進(jìn)程，并通過(guò)兩個(gè)正則表達(dá)式從內(nèi)存重提取支付卡信息。ChewBacca通過(guò)Tor匿名網(wǎng)絡(luò)傳送數(shù)據(jù)。

使用Tor網(wǎng)絡(luò)隱蔽自己

與Chewbacca很像的是，LusyPOS利用了Tor網(wǎng)絡(luò)來(lái)隱藏與遠(yuǎn)端服務(wù)器的連接。在此前，Chewbacca成功的感染了45家零售商的119臺(tái)PoS終端，并進(jìn)而導(dǎo)致超過(guò)50000張信用卡受到了影響。(相關(guān)報(bào)道鏈接)

同時(shí)LusyPOS可以偷取系統(tǒng)進(jìn)程列表，并操作注冊(cè)表對(duì)機(jī)器進(jìn)行長(zhǎng)時(shí)間的感染，這種特性與2012年的Dexter十分相像(相關(guān)鏈接)。

圖片來(lái)自：virustotal的在線報(bào)告

安全研究人員認(rèn)為可以通過(guò)另一種手段對(duì)LusyPOS進(jìn)行檢測(cè)：“POS設(shè)備不應(yīng)該直接接入互聯(lián)網(wǎng)，這樣惡意軟件會(huì)通過(guò)Tor進(jìn)行連接。使用基于主機(jī)的IDS檢測(cè)系統(tǒng)，一旦惡意軟件將Tor或其他文件寫入系統(tǒng)時(shí)，IDS會(huì)檢測(cè)的到。”

安全建議

隨著惡意軟件的技術(shù)日益復(fù)雜，零售商不能依靠單一的反病毒軟件對(duì)他們的網(wǎng)絡(luò)進(jìn)行防御：為了降低新型惡意軟件家族的對(duì)POS機(jī)的安全威脅，商家因該監(jiān)視POS機(jī)系統(tǒng)上的變化，比如信用卡號(hào)被寫入文件或是將文件傳送到互聯(lián)網(wǎng)上。