Author : TALON (BLKSMTH)
Contact : [email protected]
Date: 2020-12-03
최근 발생한 클롭 랜섬웨어 침해사고의 범인이 Bleepingcomputer 와의 인터뷰에서 POS Malware 를 사용했다고 함
본 분석 결과는 과거 발생했던 POS 단말기 침해사고 관련 악성코드를 분석한 내용이며, Track2 데이터를 탈취해가는 방법을 설명하고자 함
PoS 의 전체적인 구조와 데이터 처리는 일반적으로 아래와 같음
MS Card Reader (마그네틱 카드 리더기) 를 이용하는 PoS의 경우, 아래와 같은 구간(PoS ↔ 전문 암호화 전송 모듈) 에서 카드 정보가 평문으로 존재하며, 전문 암호화 전송 모듈과 작동 방식 등은 VAN사마다 다를 수 있음
공격자는 1차적으로 공격 대상 업체의 자산관리 서버 (하위 PC 관리 목적)를 장악한 후, 다수의 대리점에 있는 PoS 단말기로 최초 악성코드(top.gif)를 동시다발적으로 주입함
이후, PoS 단말기의 관리 소프트웨어 구동에 사용되는 플랫폼 소프트웨어의 process 와 {masked.dll}의 존재를 확인 후, 최종적으로 hkp.dll 을 플랫폼 소프트웨어 {masked}.exe 에 주입함
hkp.dll은 PoS 관리 소프트웨어 프로세스의 메모리에 상주하며 마그네틱 카드의 Track2 정보를 탈취하여 명령제어 서버로 전송함
hkp.dll은 아래 그림과 같이 PoS 관리 소프트웨어를 구동시키는 정상 프로세스에 주입되어 전문 암호화를 수행하는 특정 dll과 지속적으로 통신을 하게 됨
