惡意POS軟體——「TreasureHunt」的原始碼已確定發生洩露

　　Flashpoint的高級情報分析師Vitali Kremez在上周四發布的一篇技術文章中稱，從三月份開始，惡意POS軟體—— 「TreasureHunt」的原始碼開始在俄語黑客論壇上出現。

　　不僅TreasureHunt的原始碼洩露，惡意軟體的圖形用戶界面構建器和管理員面板的原始碼也一樣被洩露。

　　Vitali Kremez在文章中寫道：「這兩個代碼庫的洩露降低了網絡犯罪分子進入的門檻，他們希望利用這些漏洞來構建自己的POS惡意軟體變種。」

　　TreasureHunt的歷史

　　TreasureHunt又稱TreasureHunter，該惡意軟體可以竊取用戶的信用卡信息然後在地下黑市出售竊取到的用戶信息。安全研究人員根據證據表明該惡意軟體可以追溯到2014年，最開始TreasureHunt是由SANS institute安全研究人員發現的，該惡意軟體可以通過創建互斥體的來躲避追查。

　　根據獨立安全工程師Arnaud Delmas http://adelmas.com/blog/treasurehunter.php在2017年進行的一項分析，該惡意軟體其實就是一種普通的軟體，完全依靠易失性存儲器（Random Access Memory，RAM）來竊取信用卡主帳戶號碼，它也沒有任何hook功能。

　　Arnaud Delmas 表示：「我觀察到，在犯罪分子最初成功地將該軟體感染到受害者遠程桌面協議(RDP)伺服器後，它們會被部署在被攻擊的銷售點的POS設備上。」

　　根據Flashpoint的研究人員分析，這款惡意軟體很可能是由一個名為「熊公司（Bears Inc.）」的地下網絡組織開發的，該公司主要從事低端至中端的黑客業務，並其主要業務是在carding社區展開的。CardingMafia.ws是一個Carding（信用卡盜刷）社區，為詐騙者提供非常有價值的教程及其他信息。根據CSID安全團隊的調查顯示，用戶可以在CardingMafia.ws中找到如何詐騙用戶、破解軟體以及盜取信用卡的相關教程。據FireEye 2016年的一份報告顯示，TreasureHunt其實就是TreasureHunter，該軟體是由惡意軟體開發者Jolly Roger專門為Bears Inc.開發的。

　　為什麼TREASUREHUNT如此受黑客歡迎？

　　簡而言之，TREASUREHUNT就是為黑客特別定製的POS惡意軟體工具。

　　自2015年開始，POS惡意軟體的數量就不斷增長，這種軟體一般都是將竊取的銀行卡信息上傳到一個指定的CNC伺服器上。

　　雖然2015年10月PCI DSS標準發生了改變，但是目前仍然有很多零售商處於啟用晶片卡技術的過渡期。於是犯罪分子們就將目光放在了商家使用的POS系統。 僅2015年就發現超過十幾種POS惡意軟體。

　　POS惡意軟體現在分為三類：免費，按價支付以及犯罪分子自己特製。其中，免費工具通常會因為惡意軟體原始碼的洩露，而導致的大面積擴散或各種自定義版本（本文就是此種情況）。而購買的POS惡意軟體一般是最新開發的或是通過修改舊版本而來的工具，最後一種則是由一個威脅組獨自開發的，成本較高。

　　危害性評估

　　所以研究人員擔心的首要問題是洩漏的原始碼會產生一波新的POS攻擊，自2011年起，臭名昭著的Zeus軟體工具包的原始碼被洩露後，就引發了一系列類似的銀行木馬的攻擊浪潮，其中包括稱為流行的Citadel木馬，這種木馬首次發現於2012年，就是基於銀行木馬Zeus的原始碼進一步修改的。Citadel會在被感染的機器上竊取個人信息，包括銀行和財務數據，目前由其攻擊所造成的損失已超過1億美元。

　　Kremez寫道：「毫無疑問，POS惡意軟體的原始碼洩露，也必定會產生類似的可怕後果，最明顯的是2015年的Alina惡意軟體洩露，直接導致了ProPOS和Katrina變體的出現。」

　　FireEye的專家分析了這些惡意軟體後發現，黑客會利用弱口令入侵PoS系統。一旦TreasureHunt惡意軟體感染系統，它會將自身安裝到「%APPDATA%」目錄中並通過創建註冊表項來保證駐留系統：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

　　對TreasureHunt的研究並不是很順利，起初研究人員對其中的惡意代碼究竟發揮何作用並不是很清楚，因為這些代碼進行了很多精心的處理。 按著Kremez的說法：

　　通常情況下，各種攻擊軟體都會這樣做，這都是為了阻止可能的檢測、調查和分析，例如Mirai和Zeus原始碼洩露。

　　對TreasureHunt的未來防護

　　目前唯一與代碼洩露有關的好消息就是，調查人員將根據這些原始碼，對惡意軟體及其運行方式進行更深入的了解和研究，這讓安全公司更方便地了解病毒運作過程，從而採取相應對策。Kremez說：「自2014年以來，TreasureHunt就一直被我們進行分析和追蹤，期間我們也進行過逆向工程，希望獲得其原始碼並進行分析。而現在，隨著原始碼的公布，分析人員可以對以前不了解的情況有更清晰的認知。這有助於研究人員了解它們的編碼思維和操作風格，為將來的可能攻擊作出預判。」

　　通過對代碼的分析以及對相關的黑客論壇進行跟蹤，研究人員發現已有人開始對TreasureHunt進行改造了，這在論壇上被稱為「trhutt34C,」代碼項目。

　　Flashpoint分析顯示，這些開發人員打算改進和重新設計TreasureHunt的各種功能，包括反調試，代碼結構改進和通信邏輯。這意味著，新的一場攻防戰即將全面拉開。

責任編輯：韓希宇