城堡网 >> 安全频道 >> 应用安全 

企业如何防范内存抓取恶意软件

    在12月发布2014年安全预测时,我们曾提到“意在窃取金钱或知识产权的有针对性的恶意软件活动”将成为企业面临的3大威胁之一。然而,我们并没料到这个预测能以如此高调的形式在如此短的时间内就成为现实。据统计,这种攻击行为导致美国领先的零售商Target和Neiman Marcus多达110万人的信用卡或个人资料被盗。“内存抓取”已经成为世界上最大的数据泄露手段之一。

  调查显示,连锁零售网点(POS)已经遭受到“内存抓取”工具的感染,通过该工具,攻击者能够截取和窃取信用卡数据和其他账户信息。内存抓取本不是一项新技术(它于2008年首次由普林斯顿大学信息技术政策中心提出),但却被频繁地用于最新的攻击,这引发了人们关于信用卡交易安全性以及支付卡行业数据安全标准(PCI-DSS)的质疑。这些功能本应该是保护POS系统和用户信用卡数据在传输过程中的安全。

  虽然支付卡行业数据安全标准(PCI-DSS)提供了强大的安全保障(从最初的交易到客户数据存储到零售商系统中),却并非无懈可击。在交易过程中的非常短暂的时间内,客户的信用卡数据(包括持卡人姓名、卡号、有效期、三位数安全码)是以纯文格式呈现的。这是因为支付处理系统只能处理未加密的数据,这便给了内存抓取工具可乘之机。

  见缝抓取

  当支付卡数据被POS终端读取时,会暂时性地储存在随机存储器(RAM)内,同时支付卡被授权并进行交易,然后再进行数据加密。同样地,后端服务器开始处理客户交易时,数据也要在存储器中暂时被解密。这些数据只有几微秒的时间可见,但对于内存抓取软件来说足够了。无论交易何时进行,只要有新数据加载到随机存储器(RAM)内,内存抓取软件都可迅速激活,搜索出信用卡数据。之后,这些数据被悄悄地拷贝到一个文本文件内,当一定量的记录被“抓取”后,再转发给攻击者。对于犯罪分子而言,这大大地节省了其解密客户详细信息所需的时间与精力。

  现在还不清楚具体哪些恶意软件的变体被用于最近的攻击中,也不清除它们是如何被植入的。然而在2014年1月初,美国计算机应急准备小组(US-CERT)针对POS系统发布了一个关于内存抓取恶意软件的警报,其中提到了多款近期活跃的恶意软件,这些恶意软件可搜索出特定POS软件相关进程的内存转储文件,从而盗取支付卡数据。

  感染载体

  那么犯罪分子是如何将内存抓取软件植入到这些主要零售商的POS系统中的呢?当零售商的POS设备和系统联网时,原始感染源可能已经通过以下传统方法植入到零售商的网络中:公司员工在公司网络中访问电子邮件中的恶意链接或附件,或攻击者利用远程访问软件中的薄弱认证证书。

  一旦企业网络遭到破坏,攻击者就可能将恶意软件转移到POS网络和终端设备上。由于POS网络没有与其他业务网络进行隔离,因此其他业务网络也很容易受到破坏。

  POS保护措施

  为了防范未来内存抓取软件或其他针对POS系统的攻击,美国计算机应急准备小组(US-CERT)建议系统所有者和经营者采取以下6项最佳措施:

  为POS系统设定更复杂的密码,并经常更改出厂默认设置更新POS软件应用,并以同样的方式更新并修补其他业务软件,以减少暴露出来的漏洞安装防火墙以保护POS系统,并将其与其他网络隔离使用杀毒软件,并时刻保持杀毒软件的更新限制从POS系统计算机或终端访问互联网,防止意外接触到安全威胁禁止远程访问POS系统

  企业还应该考虑其他对策以增强保护级别,从而防止恶意软件的感染,而这些感染源正是最常见的攻击发起点。对于犯罪分子来说,只要稍微对恶意软件代码进行调整,便可绕过防病毒特征检测,从而对企业网络造成破坏。Check Point ThreatCloud Emulation可在恶意文档进入网络前对其进行识别并隔离,从而杜绝意外感染的发生。

  Check Point威胁仿真可以审查下载的文件和常见的电子邮件附件,如Adobe PDF文件和Microsoft Office文件,从而预防威胁。可疑文件在威胁仿真软件的沙盒中打开,并同时受到监控,是否出现异常的系统行为,包括异常的系统注册表变更、网络连接或系统进程 – 提供文件行为的实时评估。如果发现是恶意文件,则将其阻塞在网关内联。如果发现新签名,会立即发送给Check Point ThreatCloud ,并分发给Check Point的网关,以自动阻止新的恶意软件。

  总而言之,内存抓取不仅对零售业构成威胁,还对从休闲和餐饮再到金融和保险业务领域等任何涉及到大量用户支付卡处理的业务构成威胁。因此,经常使用POS设备的组织应该仔细检查其网络是否正在遭受内存抓取软件的威胁。

分享到:
责任编辑:LY
我有话说 已有 0 条评论
最新评论 刷新
暂无评论