企業應如何防范內存抓取惡意軟件
一種新型惡意軟件正逐漸風行起來,它能從系統的隨機訪問存儲器(RAM)中捕獲數據。在Verizon公司最近的數據泄露報告中曝光的RAM抓取技術,代表了一種相對新穎的針對信用卡數據攻擊方法。
然而內存抓取并不是一種全新的技術。曾在2008年黑客大會中使用的冷啟動攻擊就是RAM抓取技術的另一種形式。對于那些不記得這些的人,研究員們演示了如何通過突然切斷計算機的電源使得計算機的內存保留一份最近的內存鏡像近乎完美的拷貝,從而繞過磁盤加密。只需簡單地冷卻并拆下內存芯片并將其放入另一臺計算機,然后查看內存芯片,攻擊者瞬間就可以獲得原有計算機的磁盤加密密鑰。如果計算機重啟并且立刻載入用來傾倒內存內容的特定操作系統,即使不拿走內存,這種攻擊方法也可能奏效。
這種冷啟動的漏洞清楚地指出了存儲在內存中的數據是唾手可得的。同樣的方法可以用來訪問存儲在內存中的信用卡數據,但是報告中提到的內存抓取技術并不需要物理訪問。
通過注入已運行的進程來隱藏自身或者直接在機器上運行,當今的內存抓取軟件能夠躲過大多數的安全防護并訪問敏感的信用卡數據。一旦進駐系統,內存抓取軟件能讀取密碼、加密密鑰、信用卡、社會保障編號或者是容易轉換成現金的其它類型數據。接著內存抓取軟件要么保存這些敏感數據到本地系統或者通過各種方法直接發送給犯罪分子。即使偷取的信用卡數據是加密的,但如果攻擊者能夠使用類似之前描述的方法抓取到用于加密的私鑰,那么他仍然可能得逞。
企業中的內存抓取軟件
因此內存抓取軟件能夠以許多不同的方式危害企業的信息安全就不足為奇了。通過直接讀取內存甚至是在離線的情況下讀取交換文件(硬盤上的虛擬內存)這種惡意軟件都可以收集到數據。無論內存抓取軟件如何獲得數據,為了執行成功,這種攻擊必須要么利用弱配置或者讓有足夠權限的可執行文件來讀取內存。從整個內存中讀取數據是緩慢、低效的并且容易被偵測到,但它仍然是一種潛在有效的攻擊。
可被攻擊的軟件是內存抓取軟件的另一個可能的目標。更具體地說,此類的惡意軟件攻擊內存管理方面的軟件和敏感數據。比起讀取整個內存這種方法會更有效,因為只需要監控程序寫入數據到內存的位置而不是讀取數十億字節的內存。此外這種內存抓取方式更難被偵測到,但是對于攻擊者來說也有不利之處。
這些類型的攻擊給企業帶來的威脅很現實,但只是針對那些價值高的目標而言。編寫內存抓取的惡意軟件比起通常看到的惡意軟件要求更高的熟練水平,因為編寫者需要根據特定的軟件或者環境來定制。
對于企業的信息安全主管來說為了防范內存抓取攻擊,保障對于組織具有重要價值的對象(通常是那些存儲敏感數據或者是很容易就可以被訪問到的設備),最好采取有效的預防和偵測措施。很明顯首先需要辨識出這些對象,然后評估以判斷現有的防護措施是否充足或是需要新的技術或過程。
通過恰當的流程來追查潛在的內存抓取攻擊(或就此而言包括任何攻擊)同樣重要。如果網絡監控系統發現高價值的對象例如,某個固定銷售點的終端開始與企業內網或因特網中的新系統開始通信,那么這時的告警不僅應該引起安全職員的注意,同樣需要迅速地進行調查。快速地調查潛在的非法通信有助于在早期就發現嚴重的事故并且限制或預防破壞或數據丟失。
同樣為了防止內存抓取攻擊,軟件不應該以管理員權限或者是通常具有系統訪問的高權限運行。對于攻擊者來說訪問內存中敏感數據最容易的途徑就是利用以管理員權限已經運行的軟件。其次存放敏感數據的位置應該以詳細的系統清單的形式保持最新。信息基礎設施隨著時間增長和發生變化,所以確保恰當合適的安全措施是重要的。
內存抓取并不是全新的技術,但是最近的發展代表了之前攻擊的演變并且會在今后持續地進行。企業必須通過實施上述的一些最佳實踐來不斷地提高自身的防護以保證盡可能有效地保護敏感數據。
【編輯推薦】
