FindPOS: Neue Malware am Point of Sale entdeckt

Unit 42, die Forschungsabteilung von Palo Alto Networks, hat eine neue Point-of-Sale-Malware-Familie entdeckt, von der seit November 2014 bereits mehrere Varianten erstellt wurden. [...]

In den letzten Wochen hat Unit 42 diese Malware-Familie analysiert und „FindPOS“ genannt, da in jeder Variante stringente Muster gefunden wurden. Während diese Malware nicht durch besondere Raffinesse hervorsticht, zeigt die große Anzahl von Varianten Ähnlichkeit zu Malware-Familien wie Alina und Backoff. FindPOS führt Memory Scraping durch, um Daten aufzuspüren, über HTTP POST-Anfragen zu exfiltrieren und in einigen Fällen auch Tastatureingaben aufzuzeichnen. Die FindPOS-Familie nutzt viele gängige Techniken wie in früheren Malware-Familien, zielt aber speziell auf Windows-basierende POS-Terminals ab.

Im Verlauf der Analyse wurden insgesamt neun Varianten von FindPOS entdeckt. Im Laufe der Zeit hat der Autor minimale Änderungen durchgeführt, wahrscheinlich aus Gründen der Performance oder wegen Bugfixes. FindPOS generiert eine ausführbare Datei mit acht Buchstaben (Beispiel: abodeign.exe). Dieser Name wird mit den folgenden Systeminformationen erzeugt: C:-Volume-Seriennummer, SystemBiosDate, VideoBiosdate, CPU Identifier Microsoft Windows ProductId. Nachdem die Installation von FindPOS erfolgreich war, erstellt die Malware einen globalen Mutex (WIN_ [hex]), um sicherzustellen, dass nur eine Instanz von FindPOS läuft. Daraufhin fährt FindPOS mit dem Memory Scraping und eventuell auch der Aufzeichnung von Tastenanschlägen fort.

MEMORY SCRAPING & KEYLOGGING
Memory Scraping ist eine Technik, die bei der Mehrzahl der POS-Malware-Familien in den vergangenen Jahren entdeckt wurde. Das Konzept ist einfach: Der Speicher der laufenden Prozesse auf einem POS-Terminal wird ausgelesen, um Daten aufzuspüren. Wenn eine Karte auf einem POS-Terminal durchgezogen wird und die Transaktion verarbeitet wird, bleiben die Kartendaten oft für einen kurzen Zeitraum unverschlüsselt im Speicher. Angreifer nutzen diese Schwäche, um Daten auszulesen. Eine übliche Technik zur Erhöhung der Leistung der Memory Scraper ist das Blacklisting einer Liste der häufigsten Prozessnamen wie explorer.exe, lsass.exe, csrss.exe usw. Alternativ nutzen einige Malware-Familien einen Whitelist-Ansatz, bei dem nur bestimmte Prozessnamen ins Visier genommen werden. „FindPOS nutzt jedoch eine völlig neue Vorgehensweise. Diese Familie bestimmt die Besitzer jedes Prozesses auf dem System, über Anrufe an EnumProcesses, OpenProcess, GetTokenInformation und LookupAccountSid. Der Besitzer des Prozesses wird dann mit dem NT AUTHORITY String verglichen“, erklärt Thorsten Henning,  Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Alle Prozesse, die nicht als System oder Dienst ausgeführt werden, werden herausgefiltert. Für den Fall, dass ein Prozess nicht gefiltert wird, erfolgt das Memory Scraping  über Anrufe an VirtualQueryEx und ReadProcessMemory.“

Ab Version 5.90 begann der Autor von FindPOS damit, Keylogger zu dieser Familie hinzuzufügen. Viele Magnetkartenleser emulieren eine Tastaturvorrichtung. POS-Malware-Autoren integrieren diese Funktionalität daher in ihre Familien. Neben dem Sammeln von Track-Daten hat Keylogger auch die Fähigkeit, Benutzernamen, Passwörter oder andere sensible Daten auf dem infizierten Computer zu sammeln. Um dies zu erreichen, setzt der Autor einen neuen Thread auf, der für das Keylogging verantwortlich ist.

Die Exfiltration bei FindPOS erfolgt über HTTP-POST-Anfragen. Eine Anzahl von fest kodierten Domänen werden für jede Probe ausgebildet, oft variierend zwischen FindPOS-Varianten. HTTP-POST-Anforderungen werden alle zwei Minuten durchgeführt. Zusätzlich zur Datenexfiltration hat FindPOS die Fähigkeit zum Download/Ausführen weiterer Malware. Die Datei wird in einen temporären Ordner heruntergeladen und über einen CreateProcessA-Aufruf ausgeführt. In dem Fall, dass die Datei nicht korrekt geladen oder ausgeführt werden kann, wird sie von der Platte gelöscht.

Insgesamt wurden während der Analyse der FindPOS Malware-Familie 37 Domains entdeckt. Von diesen Domänen wurden 13 eindeutige IP-Adressen identifiziert.

NEUE MALWARE-FAMILIE
Insgesamt ist FindPOS nicht sehr ausgefeilt. Es fehlt eine Reihe von Funktionen, die in früheren Malware-Familien beobachtet wurde, wie etwa eine anspruchsvollere Anordnungs- und Kontrollstruktur, eine stärkere Verschlüsselung und Durchführung von Luhn-Kontrollen auf allen aufgespürten Daten. Die Entwicklung dieser Produktfamilie bietet interessante Hinweise darauf, dass die Malware von Grund auf neu geschrieben wurde. Während FindPOS minimale Ähnlichkeiten mit bisherigen Malware-Familien aufweist, sind die Forscher von Palo Alto Networks davon überzeugt, dass diese Malware eine brandneue Familie ist.
 
Palo Alto Networks stuft FindPOS als eine erhebliche Bedrohung für Microsoft-Windows-POS-Geräte ein und rät dazu, Maßnahmen zu ergreifen um Schutz zu gewährleisten. Solche Maßnahmen umfassen unter anderem das Konfigurieren der Zwei-Faktor-Authentifizierung für alle RAS-Dienste (LogMeIn, VNC, RDP etc.), aktuelle Anti-Virus-Software und dass POS-Geräte nicht für untersagte Funktionen, wie das Surfen im Web oder E-Mails checken, verwendet werden. Ausführliche Informationen über FindPOS hat das Unternehmen hier zusammengestellt. (pi)


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*