在12月發(fā)布2014年安全預測時(shí),我們曾提到“意在竊取金錢(qián)或知識產(chǎn)權的有針對性的惡意軟件活動(dòng)”將成為企業(yè)面臨的3大威脅之一。然而,我們并沒(méi)料到這個(gè)預測能以如此高調的形式在如此短的時(shí)間內就成為現實(shí)。據統計,這種攻擊行為導致美國領(lǐng)先的零售商Target和Neiman Marcus多達110萬(wàn)人的信用卡或個(gè)人資料被盜。“內存抓取”已經(jīng)成為世界上最大的數據泄露手段之一。
調查顯示,連鎖零售網(wǎng)點(diǎn)(POS)已經(jīng)遭受到“內存抓取”工具的感染,通過(guò)該工具,攻擊者能夠截取和竊取信用卡數據和其他賬戶(hù)信息。內存抓取本不是一項新技術(shù)(它于2008年首次由普林斯頓大學(xué)信息技術(shù)政策中心提出),但卻被頻繁地用于最新的攻擊,這引發(fā)了人們關(guān)于信用卡交易安全性以及支付卡行業(yè)數據安全標準(PCI-DSS)的質(zhì)疑。這些功能本應該是保護POS系統和用戶(hù)信用卡數據在傳輸過(guò)程中的安全。
雖然支付卡行業(yè)數據安全標準(PCI-DSS)提供了強大的安全保障(從最初的交易到客戶(hù)數據存儲到零售商系統中),卻并非無(wú)懈可擊。在交易過(guò)程中的非常短暫的時(shí)間內,客戶(hù)的信用卡數據(包括持卡人姓名、卡號、有效期、三位數安全碼)是以純文格式呈現的。這是因為支付處理系統只能處理未加密的數據,這便給了內存抓取工具可乘之機。
見(jiàn)縫抓取
當支付卡數據被POS終端讀取時(shí),會(huì )暫時(shí)性地儲存在隨機存儲器(RAM)內,同時(shí)支付卡被授權并進(jìn)行交易,然后再進(jìn)行數據加密。同樣地,后端服務(wù)器開(kāi)始處理客戶(hù)交易時(shí),數據也要在存儲器中暫時(shí)被解密。這些數據只有幾微秒的時(shí)間可見(jiàn),但對于內存抓取軟件來(lái)說(shuō)足夠了。無(wú)論交易何時(shí)進(jìn)行,只要有新數據加載到隨機存儲器(RAM)內,內存抓取軟件都可迅速激活,搜索出信用卡數據。之后,這些數據被悄悄地拷貝到一個(gè)文本文件內,當一定量的記錄被“抓取”后,再轉發(fā)給攻擊者。對于犯罪分子而言,這大大地節省了其解密客戶(hù)詳細信息所需的時(shí)間與精力。
現在還不清楚具體哪些惡意軟件的變體被用于最近的攻擊中,也不清除它們是如何被植入的。然而在2014年1月初,美國計算機應急準備小組(US-CERT)針對POS系統發(fā)布了一個(gè)關(guān)于內存抓取惡意軟件的警報,其中提到了多款近期活躍的惡意軟件,這些惡意軟件可搜索出特定POS軟件相關(guān)進(jìn)程的內存轉儲文件,從而盜取支付卡數據。
感染載體
那么犯罪分子是如何將內存抓取軟件植入到這些主要零售商的POS系統中的呢?當零售商的POS設備和系統聯(lián)網(wǎng)時(shí),原始感染源可能已經(jīng)通過(guò)以下傳統方法植入到零售商的網(wǎng)絡(luò )中:公司員工在公司網(wǎng)絡(luò )中訪(fǎng)問(wèn)電子郵件中的惡意鏈接或附件,或攻擊者利用遠程訪(fǎng)問(wèn)軟件中的薄弱認證證書(shū)。
一旦企業(yè)網(wǎng)絡(luò )遭到破壞,攻擊者就可能將惡意軟件轉移到POS網(wǎng)絡(luò )和終端設備上。由于POS網(wǎng)絡(luò )沒(méi)有與其他業(yè)務(wù)網(wǎng)絡(luò )進(jìn)行隔離,因此其他業(yè)務(wù)網(wǎng)絡(luò )也很容易受到破壞。
POS保護措施
為了防范未來(lái)內存抓取軟件或其他針對POS系統的攻擊,美國計算機應急準備小組(US-CERT)建議系統所有者和經(jīng)營(yíng)者采取以下6項最佳措施:
·為POS系統設定更復雜的密碼,并經(jīng)常更改出廠(chǎng)默認設置
·更新POS軟件應用,并以同樣的方式更新并修補其他業(yè)務(wù)軟件,以減少暴露出 來(lái)的漏洞
·安裝防火墻以保護POS系統,并將其與其他網(wǎng)絡(luò )隔離
·使用殺毒軟件,并時(shí)刻保持殺毒軟件的更新
·限制從POS系統計算機或終端訪(fǎng)問(wèn)互聯(lián)網(wǎng),防止意外接觸到安全威脅
·禁止遠程訪(fǎng)問(wèn)POS系統
企業(yè)還應該考慮其他對策以增強保護級別,從而防止惡意軟件的感染,而這些感染源正是最常見(jiàn)的攻擊發(fā)起點(diǎn)。對于犯罪分子來(lái)說(shuō),只要稍微對惡意軟件代碼進(jìn)行調整,便可繞過(guò)防病毒特征檢測,從而對企業(yè)網(wǎng)絡(luò )造成破壞。Check Point ThreatCloud Emulation可在惡意文檔進(jìn)入網(wǎng)絡(luò )前對其進(jìn)行識別并隔離,從而杜絕意外感染的發(fā)生。
Check Point威脅仿真可以審查下載的文件和常見(jiàn)的電子郵件附件,如Adobe PDF文件和Microsoft Office文件,從而預防威脅。可疑文件在威脅仿真軟件的沙盒中打開(kāi),并同時(shí)受到監控,是否出現異常的系統行為,包括異常的系統注冊表變更、網(wǎng)絡(luò )連接或系統進(jìn)程 - 提供文件行為的實(shí)時(shí)評估。如果發(fā)現是惡意文件,則將其阻塞在網(wǎng)關(guān)內聯(lián)。如果發(fā)現新簽名,會(huì )立即發(fā)送給Check Point ThreatCloud,并分發(fā)給Check Point的網(wǎng)關(guān),以自動(dòng)阻止新的惡意軟件。
總而言之,內存抓取不僅對零售業(yè)構成威脅,還對從休閑和餐飲再到金融和保險業(yè)務(wù)領(lǐng)域等任何涉及到大量用戶(hù)支付卡處理的業(yè)務(wù)構成威脅。因此,經(jīng)常使用POS設備的組織應該仔細檢查其網(wǎng)絡(luò )是否正在遭受內存抓取軟件的威脅。
