panda-security-PosCardStealer

PandaLabs, das Anti-Malware-Labor des spanischen IT-Sicherheitsspezialisten Panda Security, untersucht derzeit einige der beliebtesten Attacken, die sich in den vergangenen Monaten weltweit verbreitet haben: Angriffe auf POS-Terminals.

Bei der Analyse eines der Geräte, die von der erst kürzlich durch Panda Security entdeckten Malware-Variante „PunkeyPOS“ betroffen waren – einem neuen Schadprogramm, das gezielt Kreditkarteninformationen stiehlt – hat PandaLabs einen Angriff durch POSCardStealer entdeckt.

POSCardStealer – ein neuer Angriff auf POS-Systeme

Der erste Angriff, den wir analysieren konnten, ereignete sich am 30. September 2015 und betraf 30 POS-Systeme. Die Malware wurde mithilfe von PowerShell, einem beliebten Windows-Tool installiert. Mit diesem Tool wurde die Datei (MD5: 0B4F921CF2537FCED9CAACA179F6DFF4) ausgeführt. Sie enthielt ein Erstellungsdatum, das zwei Tage zurücklag (28/09/2015 17:07:59), und wurde mit Visual C++ kompiliert.

Die Aufgabe des Installers ist es, das System mit Malware zu infizieren, die speziell für POS-Systeme entwickelt wurde. Dazu nutzt er zwei unterschiedliche Techniken, entsprechend der auf dem System installierten POS-Software. Genauer gesagt sucht er brain.exe-  und scpwin.exe-Prozesse und installiert die Malware je nachdem, welchen der zwei er findet, wie folgt:

brain.exe: In diesem Fall bringt der Installer den eigentlichen Dinerware-Software-Prozess dazu, PosCardStealer zu laden. Dazu modifiziert er eine Reihe von Registry-Schlüsseln von Windows.

POSCARDSTEALER-1Er führt die folgenden Schritte aus:

1 – Aktiviert das automatische Laden von DLLs, indem er ENABLE_LOADAPPINIT_DLLS (0x004017A0) aufruft, und modifiziert den folgenden Registry-Schlüssel:

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows LoadAppinit_DLLs = 1

2 – Wenn der vorherige Schlüssel erfolgreich modifiziert wurde, installiert er PosCardStealer in:

C:\Windows\utils.dll

3 – Danach ruft er SET_APPINIT_DLLS (0x00401850) auf, um der Registry den neuen DLL-Pfad hinzuzufügen, damit sie automatisch geladen wird:

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = C:\Windows\utils.dll

4 – Schließlich führt er die POS-Software noch einmal aus (“brain.exe“); dadurch wird die gerade installierte DLL geladen.

scpwin.exe: In diesem Fall wird eine Technik verwendet, die als „DLL Hijacking“ bekannt ist. Nachdem der Installer die scpwin.exe im angegriffenen System gefunden hat, kopiert er die „Cdrvhf32.dll“ (legitime) DLL aus dem Windows-Systemverzeichnis in den Ordner, in dem dieselbe Anwendung zu finden ist. Dann patcht (modifiziert) er die kopierte DLL so, dass PosCardStealer (utils.dll) von dort laden kann.

Im folgenden Screenshot können Sie den Pseudo-Code sehen, der für die Ausführung dieser Aktion verantwortlich ist:

POSCARDSTEALER-2

Nun führt die Routine die folgenden Schritte aus:

  1. Sie stellt sicher, dass die Dateien „utils.dll“ oder „ccutils.dll“ im POS-Software-Ordner nicht vorhanden sind.
  2. Wenn die DLLs nicht gefunden werden, patcht sie die „%windir%\system32\Cdrvhf32.dll“ und kopiert den „spcwin.exe“-Ordner.
  3. Wenn sie die „CVdrvhf32.dll“-Programmbibliothek erfolgreich gepatcht hat, kopiert sie auch den schädlichen „utils.dll“ DLL-Code in den Ordner „spcwin.exe“. Die gepatchte Programmbibliothek „Cdrvhf32.dll“ hat dieselben Features wie die originale, führt aber zusätzlich „extra“ Code aus, d. h., die schädliche Programmbibliothek „utils.dll“ wird geladen.
  4. Danach werden Erstellungsdatum, Zugriff und Modifizierung der Programmbibliotheken “cdrvhf32.dll” und “utils.dll” aktualisiert, damit sie mit dem Datum der “spcwin.exe” übereinstimmt.
  5. Zum Schluss wird „export“_Setup@16 aus der „utils.dll“-Programmbibliothek ausgeführt von der REGISTER_DLL_RUNDLL_SETUP Routine.

Diese Variante von PosCardStealer (MD5: 81060E53D233711507F60C446418AFC6) wird in Visual C++ kompiliert und hat das folgende interne Datum: 27/09/2015 12:26:09.

All dies – sowie einige andere Indizien, die das PandaLabs hat – weist darauf hin, dass die hier analysierten Malware-Exemplare speziell dafür entwickelt wurden, um diese Opfer anzugreifen.

Ein gemeinsames Merkmal aller angegriffenen Geräte ist, dass auf ihnen LogMeIn-Software installiert war. Diese Software ist äußerst beliebt und kann für den Fernzugriff auf Systeme genutzt werden. Im Fall von POS-Systemen kann es einem Anbieter von  POS-Systemen genutzt werden, um Updates, Wartungen usw. von POS-Systemen in verschiedenen Unternehmen auszuführen.

LogMeIn: Remote-Angriffe

Obwohl die Nutzung von LogMeIn ein Einzelfall gewesen sein könnte, haben wir in diesem Fall herausgefunden, dass sie relevant war: Kaum anderthalb Monate nach dieser Attacke wurde ein neuer Angriff mithilfe von LogMeIn ausgeführt. Diesmal waren nicht nur die 30 zuvor infizierten POS-Terminals betroffen, es wurden Hunderte weitere angegriffen. Alle davon befanden sich in den USA und waren hauptsächlich in Restaurants und Bars installiert.

Bei dieser neuen Attacke wurde die Multigrain-Malware verwendet, die wir hier analysiert haben. Der Angriff begann am 13. November um 22:09 (GMT) und brauchte nur 10 Minuten, um alle Opfer zu infizieren. Dies war der Prozess, der genutzt wurde, um die Infektion auszuführen:

  • Verbindung mit dem POS mithilfe von LogMeIn.
  • Nutzung von LogMeIn, um eine ausführbare Datei (wme.exe, MD5: A0973ADAF99975C1EB12CC1E333D302F, eine Variante vo Multigrain) herunterzuladen.
  • Ausführung eines Skripts über LogMeIn. Dieses Skript ruft die Datei cmd.exe auf, die wme.exe ausführt.

14 Stunden später wurde ein Einzelangriff auf einen der POS-Terminals gestartet. Diese Attacke installierte eine neue Version von Multigrain (MD5: A3B944454729EA13AD847D01FFAC556A). Nach einer halben Stunde – wir vermuten, dass diese Zeit benötigt wird, um zu prüfen, ob alles korrekt funktioniert – wurde der Angriff gegen alle Opfer wiederholt, und zwar automatisch, sodass alle Geräte nach nur 10 Minuten mit der neuen Malware-Version infiziert waren.

Diese Systeme waren monatelang infiziert. Als die Verantwortlichen den Angriff bemerkten und die POS-Systeme bereinigten, konnten die Angreifer dort weitermachen, wo sie aufgehört hatten und LogMeIn nutzen, um eine neue Variante von Multigrain zu installieren (MD5: 4C722EA25EC857E1A7E73DE5886F9299).

Es sollte klargestellt werden, dass die LogMeIn-Attacke nicht aufgrund einer Schwachstelle möglich war, sondern weil die Angreifer die Computer bereits infiziert hatten und die nötigen Anmeldedaten besaßen, um in das System zu gelangen. Wir empfehlen Verwendern von LogMeIn, die Anweisungen in diesem Dokument zu befolgen.

Wie Sie Cyberattacken vermeiden können

Mit dieser Angriffsart kann man riesige Mengen von Kreditkartendaten auf ziemlich einfache Art und Weise stehlen. POS-Systeme sind gefährdet und müssen besonders gut geschützt werden, falls es erforderlich ist, Fernzugriffssoftware auf ihnen zu installieren. Alle verfügbaren Sicherheitsmaßnahmen (Zwei-Faktor-Authentifizierung, Beschränkung von IP-Adressen von angeschlossenen Geräten usw.) sollten aktiviert sein. Es sollte obligatorisch sein, die vollständige Kontrolle über alle auf diesen Terminals laufenden Programme zu haben.

Denken Sie daran: Wissen (über Ihre IT-Umgebung) ist Macht. Optimalen Schutz für derart gefährdete Systeme bietet Panda Adaptive Defense, ein neuentwickeltes IT-Schutzsystem auf höchstem technischen Niveau, das – durch eine lückenlose und kontinuierliche Überwachung aller laufenden Prozesse innerhalb eines Firmennetzwerkes – in der Lage ist, gezielte Angriffe auf POS-Systeme zu stoppen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.