Palo Alto Networks warnt vor neuer Malware für Kassensysteme

Rainer Schneider,
Sicherheit
Kassenterminal (BIld: Shutterstock / Vereshchagin Dmitry)

Palo Alto Networks hat eine neue Malware‐Familie für Kassensysteme – nach dem englischen Begriff “Point of Sale” auch “POS-Malware” genannt – entdeckt. Von ihr wurden seit November 2014 bereits mehrere Varianten erstellt. In den vergangenen Wochen hat Palo Alto die Schädlingsfamilie analysiert und auf den Namen “FindPOS” getauft. Die Schadsoftware besticht laut Palo Alto Networks zwar nicht durch besondere Raffinesse, weist dafür jedoch insgesamt neun Varianten auf.

Palo Alto Networks Logo (Bild: Palo Alto Networks)

FindPOS führt dem Sicherheitsanbieter zufolge Memory Scraping zum Aufspüren von Daten durch, exfiltriert beziehungsweise exportiert diese per HTTP-POST an die Server-Domains der Kriminellen. In einigen Fällen zeichnet die sogar Tastatureingaben auf. Die FindPOS‐Familie ziele dabei insbesondere auf Windows‐basierende POS‐Terminals ab.

Der Autor von FindPOS habe im Laufe der Zeit minimale Änderungen an dem Schädling durchgeführt – vermutlich aus Gründen der Performance oder aufgrund von Bugfixes. FindPOS generiere zunächst eine aus mit acht Buchstaben bezeichnete ausführbare Datei – beispielsweise abodeign.exe. Der Name wird nach Erkenntnissen des Sicherheitsunternehmens mithilfe der folgenden Systeminformationen erzeugt: C:\‐Volume‐Seriennummer, SystemBiosDate, VideoBiosdate, CPU Identifier Microsoft Windows ProductId.

Nachdem die Installation von FindPOS erfolgreich war, generiere die Malware schließlich einen sogenannten globalen Mutex. Konkret handelt es sich dabei um eine Datenstruktur, die durch das Erzwingen eines gegenseitigen Ausschlusses sicherstellen soll, dass lediglich eine Instanz von FindPOS läuft. Anschließend beginne FindPOS mit dem Memory Scraping und fahre danach gegebenenfalls mit dem Aufzeichnen von Tastenanschlägen fort.

Als “Memory Scraping” wird eine Technik bezeichnet, die nach Angaben von Palo Alto Networks in den letzten Jahren bei der Mehrzahl der POS‐Malware‐Familien entdeckt wurde. Sie wird dazu genutzt, den Speicher der laufenden Prozesse auszulesen, um Daten aufzuspüren. Wird eine Magnetkarte zur Verarbeitung einer Transaktion auf einem POS‐Terminal durchgezogen, werden die auf der Karte befindlichen Daten für einen kurzen Zeitraum oftmals unverschlüsselt im Arbeitsspeicher vorgehalten.

Diese Schwachstellte nutzen Angreifer zum Auslesen der Informationen aus. Eine übliche Technik, um die Leistungsfähigkeit der Memory Scraper noch zu erhöhen, sei das Blacklisting der häufigsten Prozessnamen. Sonstige, im Arbeitsspeicher aktive Prozesse wie explorer.exe, lsass.exe oder csrss.exe würden dadurch übergangen. Umgekehrt setzten einige Malware‐Familien auch einen Whitelist‐Ansatz ein, bei dem lediglich bestimmte Prozessnamen ins Visier genommen würden.

“FindPOS nutzt jedoch eine völlig neue Vorgehensweise. Diese Familie bestimmt die Besitzer jedes Prozesses auf dem System, über Anrufe an EnumProcesses, OpenProcess, GetTokenInformation und LookupAccountSid. Der Besitzer des Prozesses wird dann mit dem NT AUTHORITY String verglichen”, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. “Alle Prozesse, die nicht als System oder Dienst ausgeführt werden, werden herausgefiltert. Für den Fall, dass ein Prozess nicht gefiltert wird, erfolgt das Memory Scraping über Anrufe an VirtualQueryEx und ReadProcessMemory”, so Henning weiter.

Palo_Alto_Networks_Thorsten_Henning (Bild: Palo Alto Networks)
Thorsten Henning von Palo Alto Networks erklärt das sogenannte “Memory Scraping” wie folgt: „Alle Prozesse, die nicht als System oder Dienst ausgeführt werden, werden herausgefiltert. Für den Fall, dass ein Prozess nicht gefiltert wird, erfolgt das Memory Scraping über Anrufe an VirtualQueryEx und ReadProcessMemory” (Bild: Palo Alto Networks).

Das erwähnte Exfiltrieren, bei dem im Allgemeinen ein unbefugter Datenabfluss stattfindet, erfolgt bei FindPOS über HTTP‐POST‐Anfragen. Abhängig von der jeweiligen FindPOS-Variante senden die Kriminellen die gestohlenen Daten an eine bestimmte Anzahl hartcodierter Domains. Alle zwei Minuten würden hierzu neue HTTP‐POST-Requests ausgelöst.

Zusätzlich zur Datenexfiltration sei FindPOS noch in der Lage, weitere Malware herunterzuladen und auszuführen. Die jeweilige Datei werde dafür in einem temporären Ordner abgelegt und über einen sogenannten CreateProcessA‐Aufruf ausgeführt. Für den Fall, dass die Datei nicht korrekt geladen oder ausgeführt werden kann, werde sie indes automatisch von der Platte gelöscht. Insgesamt seien während der Analyse der FindPOS-Malware‐Familie 37 Server-Domains entdeckt worden. Diesen konnten wiederum 13 eindeutige IP‐Adressen zugeordnet werden.

Der Autor von FindPOS hat ab Version 5.90 zudem damit begonnen, Keylogger zu verwenden. Viele Magnetkartenleser emulieren laut Palo Alto eine Tastaturvorrichtung. POS‐Malware‐Autoren integrierten diese Funktionalität daher auch in ihre Schadsoftware. Mithilfe der Keylogger könnten die Krimellen beispielsweise Benutzernamen, Passwörter oder andere vertrauliche Daten abgreifen. Um dies zu erreichen, setze der Autor schlicht einen neuen Thread auf, welcher wiederum für das Keylogging verantwortlich sei.

Insgesamt sei FindPOS aber trotz dieser Funktionalitäten nicht sehr ausgefeilt. Es fehle eine Reihe von Funktionen, die in früheren POS-Malware‐Familien beobachtet werden konnte. Als Beispiele führt Palo Alto Networks eine anspruchsvollere Anordnungs‐ und Kontrollstruktur, eine stärkere Verschlüsselung sowie die Durchführung von Luhn‐Kontrollen auf allen aufgespürten Daten auf. Dies deutet dem Sicherheitsanbieter zufolge wiederum darauf hin, dass die Malware von Grund auf neu geschrieben wurde und FindPOS daher einer brandneuen Malware-Familie zuzuordnen ist.

Palo Alto Networks ist davon überzeugt, dass FindPOS trotz seiner Schlichtheit eine erhebliche Bedrohung für Windows‐basierende POS‐Geräte ist und Maßnahmen zu deren Schutz ergriffen werden sollten. Solche Maßnahmen beinhalteten etwa das Einrichten einer Zwei‐Faktor‐Authentifizierung für alle auf den Geräten laufenden RAS‐Dienste (Remote Access Services) wie LogMeIn, VNC oder auch RDP. Ferner sollte gewährleistet sein, dass Antiviren-Software installiert und auf dem aktuellsten Stand ist und dass POS‐Geräte nicht für ansonsten untersagte Aktivitäten wie das Surfen im Web oder das Checken von E‐Mails genutzt werden.

In der vergangenen Woche hatte auch schon Cisco vor einer für Kassensysteme bestimmten Malware namens “PoSeidon” gewarnt. Nach Angaben der Forscher des Unternehmens ist diese ebenfalls in der Lage, mittels Memory Scraping von Kunden eingegebene PINs abzuschöpfen, obwohl diese nicht im Kassensystem gespeichert werden. Ferner sammelt die Software alle verfügbaren Kreditkartendaten und zeichnet Tastatureingaben wie Passwörter auf. Eine weitere Parallele zu FindPOS besteht darin, dass PoSeidon die zusammengetragenen Informationen anschließend an fremde Server exportiert.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen