听说过UDPoS恶意软件吗?

想一下,我们的生活每天都会有所改变,每周都会有新的事情发生,网络安全行业也一样。在2018年1月月,各种销售点的系统正在遭受POS恶意软件的攻击,并且正在成为身份和财务盗窃的攻击目标,它可能会对受害者的生活方式和财务产生严重影响。该恶意软件被称为UDPoS,它恰当地以UDP不太常见的数据泄露方式进行攻击。它确实是一种不常见的技术,但很聪明,因为与HTTP和FTP相比,许多组织都不会将DNS流量优先进行检查。再加上UDPoS利用了一种名为LogMeIn的流行远程桌面服务,其可能会给未打补丁或过期的POS系统带来广泛的影响。

UDPoS伪装成LogMeIn远程访问软件的更新,一旦PoS终端受到感染,UDPoS会创建一个新的系统服务来维持持久性,然后启动一个组件来监控敏感的支付卡数据。它使用一种基本的加密和编码方法来混淆各种字符串,使用C2服务器、文件名和进程名称等等逃避检测。如果UDPoS检测到受感染系统上存在防病毒软件或虚拟机,它也会自行终止。一旦UDPoS找到支付卡数据,UDPoS会发出一个HTTP请求来确定受感染系统的外部IP地址,然后通过生成基于UDP的DNS流量来泄露该数据。

虽然UDPoS这种恶意软件通过DNS传输数据进行数据盗窃的并不常见,但有点隐蔽。攻击者和防御者其实一直玩着猫捉老鼠的游戏。当防御者适应、保护并尝试预测恶意行为的新方法时,可以肯定,攻击者正在做出相同的努力来逃避检测。我们面临的是需要协同工作、相互学习,并将这些知识应用于识别和预防新威胁,例如识别UDPoS采用的DNS泄漏方法。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180228A1INQY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券