Check Point:如何防范内存抓取恶意软件

在12月发布2014年安全预测时，我们曾提到“意在窃取金钱或知识产权的有针对性的恶意软件活动”将成为企业面临的3大威胁之一。然而，我们并没料到这个预测能以如此高调的形式在如此短的时间内就成为现实。据统计，这种攻击行为导致美国领先的零售商Target和Neiman Marcus多达110万人的信用卡或个人资料被盗。“内存抓取”已经成为世界上最大的数据泄露手段之一。　　

调查显示，连锁零售网点(POS)已经遭受到“内存抓取”工具的感染，通过该工具，攻击者能够截取和窃取信用卡数据和其他账户信息。内存抓取本不是一项新技术(它于2008年首次由普林斯顿大学信息技术政策中心提出)，但却被频繁地用于最新的攻击，这引发了人们关于信用卡交易安全性以及支付卡行业数据安全标准(PCI-DSS)的质疑。这些功能本应该是保护POS系统和用户信用卡数据在传输过程中的安全。　

虽然支付卡行业数据安全标准(PCI-DSS)提供了强大的安全保障(从最初的交易到客户数据存储到零售商系统中)，却并非无懈可击。在交易过程中的非常短暂的时间内，客户的信用卡数据(包括持卡人姓名、卡号、有效期、三位数安全码)是以纯文格式呈现的。这是因为支付处理系统只能处理未加密的数据，这便给了内存抓取工具可乘之机。　　

见缝抓取

当支付卡数据被POS终端读取时，会暂时性地储存在随机存储器(RAM)内，同时支付卡被授权并进行交易，然后再进行数据加密。同样地，后端服务器开始处理客户交易时，数据也要在存储器中暂时被解密。这些数据只有几微秒的时间可见，但对于内存抓取软件来说足够了。无论交易何时进行，只要有新数据加载到随机存储器(RAM)内，内存抓取软件都可迅速激活，搜索出信用卡数据。之后，这些数据被悄悄地拷贝到一个文本文件内，当一定量的记录被“抓取”后，再转发给攻击者。对于犯罪分子而言，这大大地节省了其解密客户详细信息所需的时间与精力。　　

现在还不清楚具体哪些恶意软件的变体被用于最近的攻击中，也不清除它们是如何被植入的。然而在2014年1月初，美国计算机应急准备小组(US-CERT)针对POS系统发布了一个关于内存抓取恶意软件的警报，其中提到了多款近期活跃的恶意软件，这些恶意软件可搜索出特定POS软件相关进程的内存转储文件，从而盗取支付卡数据。　　

感染载体

那么犯罪分子是如何将内存抓取软件植入到这些主要零售商的POS系统中的呢?当零售商的POS设备和系统联网时，原始感染源可能已经通过以下传统方法植入到零售商的网络中：公司员工在公司网络中访问电子邮件中的恶意链接或附件，或攻击者利用远程访问软件中的薄弱认证证书。　　

一旦企业网络遭到破坏，攻击者就可能将恶意软件转移到POS网络和终端设备上。由于POS网络没有与其他业务网络进行隔离，因此其他业务网络也很容易受到破坏。　　

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友