Kroll Cyber Security 公司的研究人员在2017年发现并于近日公布了新型 POS 恶意软件“粉风筝 (PinkKite)”，它体积虽小但能对 POS 终端造成巨大损害。

研究人员 Courtney Dayter 和 Matt Bromiley 在上周五举行的卡巴斯基实验室安全分析师峰会上指出，他们是在针对一起大型 POS 恶意软件攻击活动中发现的“粉风筝”，针对这起攻击活动的调查时间长达9个月，于2017年12月结束。

体积小，通过交换中心渗透数据

PinkKite 的大小不足 6k，类似于其它小型 POS 恶意软件家族如 TinyPOS 和 AbaddonPOS。PinkKite 也留下少量足迹躲避检测，并且配有内存搜刮和数据验证的工具。

Dayter指出，“粉风筝”的不同之处在于它内置持续性机制、硬编码的双重异或 (double-XOR) 加密（用于信用卡卡号）和后端基础设施，通过交换中心渗透数据。

“粉风筝”背后的攻击者使用了三个位于韩国、加拿大和荷兰的交换中心（或仓库）接受所发送的数据。一般而言，POS 恶意软件直接将数据发送到一台 C2 服务器。

Bromiley 表示，“从恶意软件收集数据的角度来讲，这样做攻击者可能更容易地将数据发送到交换中心。这有可能让他们和 POS 终端保持一定的距离。不过从调查的角度来看，我们喜欢这种方式，因为它让操作变得十分嘈杂。”

“粉风筝”的可执行命名规则试图伪装成名称为 “Svchost.exe”、”Ctfmon.exe” 和 “AG.exe” 等合法 Windows 程序。Kroll 公司发现了多个“粉风筝”家族。Bromiley 指出，“粉风筝的白名单版本中包含具体攻击的进程列表。黑名单版本中包含具体忽视的进程列表。”

“粉风筝”的感染过程

从系统内存中搜刮到信用卡数据后，“粉风筝”使用 Luhn 算法验证信用卡和储蓄卡卡号。为了进一步阻止分析和检测，“粉风筝”还通过一个以预定义密钥编码信用卡16位数字的双重异或操作增加了另外一个混淆层。之后，攻击者将信用卡数据存储到一个压缩文件中，这些文件的名称包括 “.f64”、”.n9”、”.sha64” 等。每个文件中能包含7000个信用卡卡号，而且攻击者会定期手动通过一个远程桌面协议会话将数据发送到这三个“粉风筝”交换中心中的一个。

Dayter 指出，“粉风筝搜刮到数据后，会将数据写到远程系统上的一个文件中。这些远程收集系统的作用是数百或数千份恶意软件输出文件的中心收集点（交换中心）。”

除了说明攻击者如何将“粉风筝”恶意软件安装到端点外，Kroll 公司并未分享更多关于“粉风筝”幕后黑手的详情。研究人员指出，黑客可能是渗透一个主系统然后通过 PsExec 在公司的网络环境中横向移动。随后，黑客找到本地安全认证子系统服务 (LSASS) 并通过 Mimikatz 提取凭证。系统遭攻陷后，攻击者会通过远程桌面协议会话删除信用卡数据。

Dayter 和 Bromiley 表示是在他们的客户意识到自己用户的信用卡信息在黑市售卖之后发现“粉风筝”的感染活动的。“粉风筝”这个名称是按照 Kroll 公司的恶意软件命名规则起的，而且是随意选择的。命名和恶意软件的名称以及恶意软件本身之间并无任何关联。