在12月發(fā)布2014年安全預(yù)測(cè)時(shí),我們?cè)岬?ldquo;意在竊取金錢(qián)或知識(shí)產(chǎn)權(quán)的有針對(duì)性的惡意軟件活動(dòng)”將成為企業(yè)面臨的3大威脅之一。然而,我們并沒(méi)料到這個(gè)預(yù)測(cè)能以如此高調(diào)的形式在如此短的時(shí)間內(nèi)就成為現(xiàn)實(shí)。據(jù)統(tǒng)計(jì),這種攻擊行為導(dǎo)致美國(guó)領(lǐng)先的零售商Target和Neiman Marcus多達(dá)110萬(wàn)人的信用卡或個(gè)人資料被盜。“內(nèi)存抓取”已經(jīng)成為世界上最大的數(shù)據(jù)泄露手段之一。
調(diào)查顯示,連鎖零售網(wǎng)點(diǎn)(POS)已經(jīng)遭受到“內(nèi)存抓取”工具的感染,通過(guò)該工具,攻擊者能夠截取和竊取信用卡數(shù)據(jù)和其他賬戶(hù)信息。內(nèi)存抓取本不是一項(xiàng)新技術(shù)(它于2008年首次由普林斯頓大學(xué)信息技術(shù)政策中心提出),但卻被頻繁地用于最新的攻擊,這引發(fā)了人們關(guān)于信用卡交易安全性以及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)的質(zhì)疑。這些功能本應(yīng)該是保護(hù)POS系統(tǒng)和用戶(hù)信用卡數(shù)據(jù)在傳輸過(guò)程中的安全。
雖然支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)提供了強(qiáng)大的安全保障(從最初的交易到客戶(hù)數(shù)據(jù)存儲(chǔ)到零售商系統(tǒng)中),卻并非無(wú)懈可擊。在交易過(guò)程中的非常短暫的時(shí)間內(nèi),客戶(hù)的信用卡數(shù)據(jù)(包括持卡人姓名、卡號(hào)、有效期、三位數(shù)安全碼)是以純文格式呈現(xiàn)的。這是因?yàn)橹Ц短幚硐到y(tǒng)只能處理未加密的數(shù)據(jù),這便給了內(nèi)存抓取工具可乘之機(jī)。
見(jiàn)縫抓取
當(dāng)支付卡數(shù)據(jù)被POS終端讀取時(shí),會(huì)暫時(shí)性地儲(chǔ)存在隨機(jī)存儲(chǔ)器(RAM)內(nèi),同時(shí)支付卡被授權(quán)并進(jìn)行交易,然后再進(jìn)行數(shù)據(jù)加密。同樣地,后端服務(wù)器開(kāi)始處理客戶(hù)交易時(shí),數(shù)據(jù)也要在存儲(chǔ)器中暫時(shí)被解密。這些數(shù)據(jù)只有幾微秒的時(shí)間可見(jiàn),但對(duì)于內(nèi)存抓取軟件來(lái)說(shuō)足夠了。無(wú)論交易何時(shí)進(jìn)行,只要有新數(shù)據(jù)加載到隨機(jī)存儲(chǔ)器(RAM)內(nèi),內(nèi)存抓取軟件都可迅速激活,搜索出信用卡數(shù)據(jù)。之后,這些數(shù)據(jù)被悄悄地拷貝到一個(gè)文本文件內(nèi),當(dāng)一定量的記錄被“抓取”后,再轉(zhuǎn)發(fā)給攻擊者。對(duì)于犯罪分子而言,這大大地節(jié)省了其解密客戶(hù)詳細(xì)信息所需的時(shí)間與精力。
現(xiàn)在還不清楚具體哪些惡意軟件的變體被用于最近的攻擊中,也不清除它們是如何被植入的。然而在2014年1月初,美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)針對(duì)POS系統(tǒng)發(fā)布了一個(gè)關(guān)于內(nèi)存抓取惡意軟件的警報(bào),其中提到了多款近期活躍的惡意軟件,這些惡意軟件可搜索出特定POS軟件相關(guān)進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)文件,從而盜取支付卡數(shù)據(jù)。
感染載體
那么犯罪分子是如何將內(nèi)存抓取軟件植入到這些主要零售商的POS系統(tǒng)中的呢?當(dāng)零售商的POS設(shè)備和系統(tǒng)聯(lián)網(wǎng)時(shí),原始感染源可能已經(jīng)通過(guò)以下傳統(tǒng)方法植入到零售商的網(wǎng)絡(luò)中:公司員工在公司網(wǎng)絡(luò)中訪問(wèn)電子郵件中的惡意鏈接或附件,或攻擊者利用遠(yuǎn)程訪問(wèn)軟件中的薄弱認(rèn)證證書(shū)。
一旦企業(yè)網(wǎng)絡(luò)遭到破壞,攻擊者就可能將惡意軟件轉(zhuǎn)移到POS網(wǎng)絡(luò)和終端設(shè)備上。由于POS網(wǎng)絡(luò)沒(méi)有與其他業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行隔離,因此其他業(yè)務(wù)網(wǎng)絡(luò)也很容易受到破壞。
POS保護(hù)措施
為了防范未來(lái)內(nèi)存抓取軟件或其他針對(duì)POS系統(tǒng)的攻擊,美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)建議系統(tǒng)所有者和經(jīng)營(yíng)者采取以下6項(xiàng)最佳措施:
·為POS系統(tǒng)設(shè)定更復(fù)雜的密碼,并經(jīng)常更改出廠默認(rèn)設(shè)置
·更新POS軟件應(yīng)用,并以同樣的方式更新并修補(bǔ)其他業(yè)務(wù)軟件,以減少暴露出 來(lái)的漏洞
·安裝防火墻以保護(hù)POS系統(tǒng),并將其與其他網(wǎng)絡(luò)隔離
·使用殺毒軟件,并時(shí)刻保持殺毒軟件的更新
·限制從POS系統(tǒng)計(jì)算機(jī)或終端訪問(wèn)互聯(lián)網(wǎng),防止意外接觸到安全威脅
·禁止遠(yuǎn)程訪問(wèn)POS系統(tǒng)
企業(yè)還應(yīng)該考慮其他對(duì)策以增強(qiáng)保護(hù)級(jí)別,從而防止惡意軟件的感染,而這些感染源正是最常見(jiàn)的攻擊發(fā)起點(diǎn)。對(duì)于犯罪分子來(lái)說(shuō),只要稍微對(duì)惡意軟件代碼進(jìn)行調(diào)整,便可繞過(guò)防病毒特征檢測(cè),從而對(duì)企業(yè)網(wǎng)絡(luò)造成破壞。Check Point ThreatCloud Emulation可在惡意文檔進(jìn)入網(wǎng)絡(luò)前對(duì)其進(jìn)行識(shí)別并隔離,從而杜絕意外感染的發(fā)生。
Check Point威脅仿真可以審查下載的文件和常見(jiàn)的電子郵件附件,如Adobe PDF文件和Microsoft Office文件,從而預(yù)防威脅。可疑文件在威脅仿真軟件的沙盒中打開(kāi),并同時(shí)受到監(jiān)控,是否出現(xiàn)異常的系統(tǒng)行為,包括異常的系統(tǒng)注冊(cè)表變更、網(wǎng)絡(luò)連接或系統(tǒng)進(jìn)程 - 提供文件行為的實(shí)時(shí)評(píng)估。如果發(fā)現(xiàn)是惡意文件,則將其阻塞在網(wǎng)關(guān)內(nèi)聯(lián)。如果發(fā)現(xiàn)新簽名,會(huì)立即發(fā)送給Check Point ThreatCloud,并分發(fā)給Check Point的網(wǎng)關(guān),以自動(dòng)阻止新的惡意軟件。
總而言之,內(nèi)存抓取不僅對(duì)零售業(yè)構(gòu)成威脅,還對(duì)從休閑和餐飲再到金融和保險(xiǎn)業(yè)務(wù)領(lǐng)域等任何涉及到大量用戶(hù)支付卡處理的業(yè)務(wù)構(gòu)成威脅。因此,經(jīng)常使用POS設(shè)備的組織應(yīng)該仔細(xì)檢查其網(wǎng)絡(luò)是否正在遭受內(nèi)存抓取軟件的威脅。
