在12月發(fā)布2014年安全預測時,我們曾提到“意在竊取金錢或知識產(chǎn)權(quán)的有針對性的惡意軟件活動”將成為企業(yè)面臨的3大威脅之一。然而,我們并沒料到這個預測能以如此高調(diào)的形式在如此短的時間內(nèi)就成為現(xiàn)實。據(jù)統(tǒng)計,這種攻擊行為導致美國領(lǐng)先的零售商Target和Neiman Marcus多達110萬人的信用卡或個人資料被盜。“內(nèi)存抓取”已經(jīng)成為世界上最大的數(shù)據(jù)泄露手段之一。
調(diào)查顯示,連鎖零售網(wǎng)點(POS)已經(jīng)遭受到“內(nèi)存抓取”工具的感染,通過該工具,攻擊者能夠截取和竊取信用卡數(shù)據(jù)和其他賬戶信息。內(nèi)存抓取本不是一項新技術(shù)(它于2008年首次由普林斯頓大學信息技術(shù)政策中心提出),但卻被頻繁地用于最新的攻擊,這引發(fā)了人們關(guān)于信用卡交易安全性以及支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)的質(zhì)疑。這些功能本應(yīng)該是保護POS系統(tǒng)和用戶信用卡數(shù)據(jù)在傳輸過程中的安全。
雖然支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)提供了強大的安全保障(從最初的交易到客戶數(shù)據(jù)存儲到零售商系統(tǒng)中),卻并非無懈可擊。在交易過程中的非常短暫的時間內(nèi),客戶的信用卡數(shù)據(jù)(包括持卡人姓名、卡號、有效期、三位數(shù)安全碼)是以純文格式呈現(xiàn)的。這是因為支付處理系統(tǒng)只能處理未加密的數(shù)據(jù),這便給了內(nèi)存抓取工具可乘之機。
見縫抓取
當支付卡數(shù)據(jù)被POS終端讀取時,會暫時性地儲存在隨機存儲器(RAM)內(nèi),同時支付卡被授權(quán)并進行交易,然后再進行數(shù)據(jù)加密。同樣地,后端服務(wù)器開始處理客戶交易時,數(shù)據(jù)也要在存儲器中暫時被解密。這些數(shù)據(jù)只有幾微秒的時間可見,但對于內(nèi)存抓取軟件來說足夠了。無論交易何時進行,只要有新數(shù)據(jù)加載到隨機存儲器(RAM)內(nèi),內(nèi)存抓取軟件都可迅速激活,搜索出信用卡數(shù)據(jù)。之后,這些數(shù)據(jù)被悄悄地拷貝到一個文本文件內(nèi),當一定量的記錄被“抓取”后,再轉(zhuǎn)發(fā)給攻擊者。對于犯罪分子而言,這大大地節(jié)省了其解密客戶詳細信息所需的時間與精力。
現(xiàn)在還不清楚具體哪些惡意軟件的變體被用于最近的攻擊中,也不清除它們是如何被植入的。然而在2014年1月初,美國計算機應(yīng)急準備小組(US-CERT)針對POS系統(tǒng)發(fā)布了一個關(guān)于內(nèi)存抓取惡意軟件的警報,其中提到了多款近期活躍的惡意軟件,這些惡意軟件可搜索出特定POS軟件相關(guān)進程的內(nèi)存轉(zhuǎn)儲文件,從而盜取支付卡數(shù)據(jù)。
感染載體
那么犯罪分子是如何將內(nèi)存抓取軟件植入到這些主要零售商的POS系統(tǒng)中的呢?當零售商的POS設(shè)備和系統(tǒng)聯(lián)網(wǎng)時,原始感染源可能已經(jīng)通過以下傳統(tǒng)方法植入到零售商的網(wǎng)絡(luò)中:公司員工在公司網(wǎng)絡(luò)中訪問電子郵件中的惡意鏈接或附件,或攻擊者利用遠程訪問軟件中的薄弱認證證書。
一旦企業(yè)網(wǎng)絡(luò)遭到破壞,攻擊者就可能將惡意軟件轉(zhuǎn)移到POS網(wǎng)絡(luò)和終端設(shè)備上。由于POS網(wǎng)絡(luò)沒有與其他業(yè)務(wù)網(wǎng)絡(luò)進行隔離,因此其他業(yè)務(wù)網(wǎng)絡(luò)也很容易受到破壞。
POS保護措施
為了防范未來內(nèi)存抓取軟件或其他針對POS系統(tǒng)的攻擊,美國計算機應(yīng)急準備小組(US-CERT)建議系統(tǒng)所有者和經(jīng)營者采取以下6項最佳措施:
·為POS系統(tǒng)設(shè)定更復雜的密碼,并經(jīng)常更改出廠默認設(shè)置
·更新POS軟件應(yīng)用,并以同樣的方式更新并修補其他業(yè)務(wù)軟件,以減少暴露出 來的漏洞
·安裝防火墻以保護POS系統(tǒng),并將其與其他網(wǎng)絡(luò)隔離
·使用殺毒軟件,并時刻保持殺毒軟件的更新
·限制從POS系統(tǒng)計算機或終端訪問互聯(lián)網(wǎng),防止意外接觸到安全威脅
·禁止遠程訪問POS系統(tǒng)
企業(yè)還應(yīng)該考慮其他對策以增強保護級別,從而防止惡意軟件的感染,而這些感染源正是最常見的攻擊發(fā)起點。對于犯罪分子來說,只要稍微對惡意軟件代碼進行調(diào)整,便可繞過防病毒特征檢測,從而對企業(yè)網(wǎng)絡(luò)造成破壞。Check Point ThreatCloud Emulation可在惡意文檔進入網(wǎng)絡(luò)前對其進行識別并隔離,從而杜絕意外感染的發(fā)生。
Check Point威脅仿真可以審查下載的文件和常見的電子郵件附件,如Adobe PDF文件和Microsoft Office文件,從而預防威脅?梢晌募谕{仿真軟件的沙盒中打開,并同時受到監(jiān)控,是否出現(xiàn)異常的系統(tǒng)行為,包括異常的系統(tǒng)注冊表變更、網(wǎng)絡(luò)連接或系統(tǒng)進程 - 提供文件行為的實時評估。如果發(fā)現(xiàn)是惡意文件,則將其阻塞在網(wǎng)關(guān)內(nèi)聯(lián)。如果發(fā)現(xiàn)新簽名,會立即發(fā)送給Check Point ThreatCloud,并分發(fā)給Check Point的網(wǎng)關(guān),以自動阻止新的惡意軟件。
總而言之,內(nèi)存抓取不僅對零售業(yè)構(gòu)成威脅,還對從休閑和餐飲再到金融和保險業(yè)務(wù)領(lǐng)域等任何涉及到大量用戶支付卡處理的業(yè)務(wù)構(gòu)成威脅。因此,經(jīng)常使用POS設(shè)備的組織應(yīng)該仔細檢查其網(wǎng)絡(luò)是否正在遭受內(nèi)存抓取軟件的威脅。