深入分析新型POS机木马LogPOS

近几年POS恶意软件活动频繁，本文就2015年发现的一个新成员LogPOS样本进行分析。该恶意软件的一个重要的特点是其利用了邮件槽，可以躲避传统的检测机制。
此外，在该样本中，主程序创建了邮件槽，并作为邮件槽服务器，而注入到各个进程中的代码则作为客户端，它们将获取到的信用卡号码写入邮件槽，然后通过邮件槽直接将数据传输出去。

前言

在这之前，已经有过一次POS恶意软件的恶意活动。

2014年，Jeremy Humble和我发现了2个未曾曝光过的POS恶意软件家族，接着在2015年我们又发现了一个POS恶意软件的新家族。这次发现的恶意软件我们命名为“LogPOS”，它跟前段时间发现的POS恶意软件有几个显著的差异。

在本文接下来的部分中，我们将对LogPOS进行详细分析，该样本哈希值为：

af13e7583ed1b27c4ae219e344a37e2b。

好特科普：邮件槽（Mailslots）

Windows系统中提供了几种进程间通信的方式，邮件槽（Mailslots）就是其中的一种。

邮件槽提供进程间单向通信能力，任何进程都能建立邮件槽成为邮件槽服务器。其它进程，称为邮件槽客户，可以通过邮件槽的名字给邮件槽服务器进程发送消息。进来的消息一直放在邮件槽中，直到服务器进程读取它为止。一个进程既可以是邮件槽服务器也可以是邮件槽客户，因此可建立多个邮件槽实现进程间的双向通信。 

通过邮件槽可以给本地计算机上的邮件槽、其它计算机上的邮件槽或指定网络区域中所有计算机上有同样名字的邮件槽发送消息。广播通信的消息长度不能超过400字节，非广播消息的长度则受邮件槽服务器指定的最大消息长度的限制。 

邮件槽与命名管道相似，不过它传输数据是通过不可靠的数据报(如TCP/IP协议中的UDP包)完成的，一旦网络发生错误则无法保证消息正确地接收。不过邮件槽有简化的编程接口和给指定网络区域内的所有计算机广播消息的能力，所以邮件槽不失为应用程序发送和接收消息的一种好的选择。