在12月發(fā)布2014年安全預(yù)測時，我們曾提到“意在竊取金錢或知識產(chǎn)權(quán)的有針對性的惡意軟件活動”將成為企業(yè)面臨的3大威脅之一。然而，我們并沒料到這個預(yù)測能以如此高調(diào)的形式在如此短的時間內(nèi)就成為現(xiàn)實。據(jù)統(tǒng)計，這種攻擊行為導(dǎo)致美國領(lǐng)先的零售商Target和Neiman Marcus多達(dá)110萬人的信用卡或個人資料被盜。“內(nèi)存抓取”已經(jīng)成為世界上最大的數(shù)據(jù)泄露手段之一。

　　調(diào)查顯示，連鎖零售網(wǎng)點（POS）已經(jīng)遭受到“內(nèi)存抓取”工具的感染，通過該工具，攻擊者能夠截取和竊取信用卡數(shù)據(jù)和其他賬戶信息。內(nèi)存抓取本不是一項新技術(shù)（它于2008年首次由普林斯頓大學(xué)信息技術(shù)政策中心提出），但卻被頻繁地用于最新的攻擊，這引發(fā)了人們關(guān)于信用卡交易安全性以及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）的質(zhì)疑。這些功能本應(yīng)該是保護POS系統(tǒng)和用戶信用卡數(shù)據(jù)在傳輸過程中的安全。

　　雖然支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）提供了強大的安全保障（從最初的交易到客戶數(shù)據(jù)存儲到零售商系統(tǒng)中），卻并非無懈可擊。在交易過程中的非常短暫的時間內(nèi)，客戶的信用卡數(shù)據(jù)（包括持卡人姓名、卡號、有效期、三位數(shù)安全碼）是以純文格式呈現(xiàn)的。這是因為支付處理系統(tǒng)只能處理未加密的數(shù)據(jù)，這便給了內(nèi)存抓取工具可乘之機。

　　見縫抓取

　　當(dāng)支付卡數(shù)據(jù)被POS終端讀取時，會暫時性地儲存在隨機存儲器（RAM）內(nèi)，同時支付卡被授權(quán)并進行交易，然后再進行數(shù)據(jù)加密。同樣地，后端服務(wù)器開始處理客戶交易時，數(shù)據(jù)也要在存儲器中暫時被解密。這些數(shù)據(jù)只有幾微秒的時間可見，但對于內(nèi)存抓取軟件來說足夠了。無論交易何時進行，只要有新數(shù)據(jù)加載到隨機存儲器（RAM）內(nèi)，內(nèi)存抓取軟件都可迅速激活，搜索出信用卡數(shù)據(jù)。之后，這些數(shù)據(jù)被悄悄地拷貝到一個文本文件內(nèi)，當(dāng)一定量的記錄被“抓取”后，再轉(zhuǎn)發(fā)給攻擊者。對于犯罪分子而言，這大大地節(jié)省了其解密客戶詳細(xì)信息所需的時間與精力。

　　現(xiàn)在還不清楚具體哪些惡意軟件的變體被用于最近的攻擊中，也不清除它們是如何被植入的。然而在2014年1月初，美國計算機應(yīng)急準(zhǔn)備小組（US-CERT）針對POS系統(tǒng)發(fā)布了一個關(guān)于內(nèi)存抓取惡意軟件的警報，其中提到了多款近期活躍的惡意軟件，這些惡意軟件可搜索出特定POS軟件相關(guān)進程的內(nèi)存轉(zhuǎn)儲文件，從而盜取支付卡數(shù)據(jù)。

　　感染載體

　　那么犯罪分子是如何將內(nèi)存抓取軟件植入到這些主要零售商的POS系統(tǒng)中的呢？當(dāng)零售商的POS設(shè)備和系統(tǒng)聯(lián)網(wǎng)時，原始感染源可能已經(jīng)通過以下傳統(tǒng)方法植入到零售商的網(wǎng)絡(luò)中：公司員工在公司網(wǎng)絡(luò)中訪問電子郵件中的惡意鏈接或附件，或攻擊者利用遠(yuǎn)程訪問軟件中的薄弱認(rèn)證證書。

　　一旦企業(yè)網(wǎng)絡(luò)遭到破壞，攻擊者就可能將惡意軟件轉(zhuǎn)移到POS網(wǎng)絡(luò)和終端設(shè)備上。由于POS網(wǎng)絡(luò)沒有與其他業(yè)務(wù)網(wǎng)絡(luò)進行隔離，因此其他業(yè)務(wù)網(wǎng)絡(luò)也很容易受到破壞。

　　POS保護措施

　　為了防范未來內(nèi)存抓取軟件或其他針對POS系統(tǒng)的攻擊，美國計算機應(yīng)急準(zhǔn)備小組（US-CERT）建議系統(tǒng)所有者和經(jīng)營者采取以下6項最佳措施：

　　·為POS系統(tǒng)設(shè)定更復(fù)雜的密碼，并經(jīng)常更改出廠默認(rèn)設(shè)置

　　·更新POS軟件應(yīng)用，并以同樣的方式更新并修補其他業(yè)務(wù)軟件，以減少暴露出 來的漏洞

　　·安裝防火墻以保護POS系統(tǒng)，并將其與其他網(wǎng)絡(luò)隔離

　　·使用殺毒軟件，并時刻保持殺毒軟件的更新

　　·限制從POS系統(tǒng)計算機或終端訪問互聯(lián)網(wǎng)，防止意外接觸到安全威脅

　　·禁止遠(yuǎn)程訪問POS系統(tǒng)

　　企業(yè)還應(yīng)該考慮其他對策以增強保護級別，從而防止惡意軟件的感染，而這些感染源正是最常見的攻擊發(fā)起點。對于犯罪分子來說，只要稍微對惡意軟件代碼進行調(diào)整，便可繞過防病毒特征檢測，從而對企業(yè)網(wǎng)絡(luò)造成破壞。Check Point ThreatCloud Emulation可在惡意文檔進入網(wǎng)絡(luò)前對其進行識別并隔離，從而杜絕意外感染的發(fā)生。

　　Check Point威脅仿真可以審查下載的文件和常見的電子郵件附件，如Adobe PDF文件和Microsoft Office文件，從而預(yù)防威脅�？梢晌募�在威脅仿真軟件的沙盒中打開，并同時受到監(jiān)控，是否出現(xiàn)異常的系統(tǒng)行為，包括異常的系統(tǒng)注冊表變更、網(wǎng)絡(luò)連接或系統(tǒng)進程 - 提供文件行為的實時評估。如果發(fā)現(xiàn)是惡意文件，則將其阻塞在網(wǎng)關(guān)內(nèi)聯(lián)。如果發(fā)現(xiàn)新簽名，會立即發(fā)送給Check Point ThreatCloud，并分發(fā)給Check Point的網(wǎng)關(guān)，以自動阻止新的惡意軟件。

　　總而言之，內(nèi)存抓取不僅對零售業(yè)構(gòu)成威脅，還對從休閑和餐飲再到金融和保險業(yè)務(wù)領(lǐng)域等任何涉及到大量用戶支付卡處理的業(yè)務(wù)構(gòu)成威脅。因此，經(jīng)常使用POS設(shè)備的組織應(yīng)該仔細(xì)檢查其網(wǎng)絡(luò)是否正在遭受內(nèi)存抓取軟件的威脅。