听说过UDPoS恶意软件吗？

想一下，我们的生活每天都会有所改变，每周都会有新的事情发生，网络安全行业也一样。在2018年1月月，各种销售点的系统正在遭受POS恶意软件的攻击，并且正在成为身份和财务盗窃的攻击目标，它可能会对受害者的生活方式和财务产生严重影响。该恶意软件被称为UDPoS，它恰当地以UDP不太常见的数据泄露方式进行攻击。它确实是一种不常见的技术，但很聪明，因为与HTTP和FTP相比，许多组织都不会将DNS流量优先进行检查。再加上UDPoS利用了一种名为LogMeIn的流行远程桌面服务，其可能会给未打补丁或过期的POS系统带来广泛的影响。

UDPoS伪装成LogMeIn远程访问软件的更新，一旦PoS终端受到感染，UDPoS会创建一个新的系统服务来维持持久性，然后启动一个组件来监控敏感的支付卡数据。它使用一种基本的加密和编码方法来混淆各种字符串，使用C2服务器、文件名和进程名称等等逃避检测。如果UDPoS检测到受感染系统上存在防病毒软件或虚拟机，它也会自行终止。一旦UDPoS找到支付卡数据，UDPoS会发出一个HTTP请求来确定受感染系统的外部IP地址，然后通过生成基于UDP的DNS流量来泄露该数据。

虽然UDPoS这种恶意软件通过DNS传输数据进行数据盗窃的并不常见，但有点隐蔽。攻击者和防御者其实一直玩着猫捉老鼠的游戏。当防御者适应、保护并尝试预测恶意行为的新方法时，可以肯定，攻击者正在做出相同的努力来逃避检测。我们面临的是需要协同工作、相互学习，并将这些知识应用于识别和预防新威胁，例如识别UDPoS采用的DNS泄漏方法。