POS終端惡意軟件正不斷演變
POS終端惡意軟件(例如最新的PoSeidon惡意軟件)正不斷演變以避免被檢測,企業(yè)應該如何應付呢?
針對POS終端的惡意軟件仍然是犯罪團伙積極發(fā)展的領(lǐng)域,這些地下組織依靠獲取泄露的信用卡數(shù)據(jù)來賺錢,并且似乎從來不會感到滿足。然而,隨著數(shù)據(jù)泄露事故被檢測以及問題被解決,信用卡公司和銀行已經(jīng)迅速分發(fā)新卡給已泄露卡信息的消費者,這對于消費者來說是好事,對攻擊者是壞事。
為了跟上銀行更換受影響信用卡的速度以及免受企業(yè)惡意防御技術(shù)的檢測,POS終端(POS)惡意軟件編寫者需要保持其惡意軟件的更新,這包括采用新戰(zhàn)略來攻擊系統(tǒng),以及采取措施來避免被檢測。
這種貓捉老鼠的游戲還會繼續(xù)下去,除非在處理支付方面出現(xiàn)根本性的改變。在本文中,讓我們探討一下最新的PoSeidon銷售終端惡意軟件的工作原理以及安全團隊應該如何應對它。
PoSeidon POS終端惡意軟件
PoSeidon惡意軟件是針對POS系統(tǒng)的新惡意軟件,它使用RAM scraping來獲取信用卡號碼,正如Zeus和BlackPoS那樣,不同的是,PoSeidon還包含一個鍵盤記錄器來獲取密碼,以及其他高級功能。
當這個多階段攻擊感染本地系統(tǒng)時,它會從硬編碼的命令和控制服務器下載可執(zhí)行文件用于保持攻擊持久性和編碼目標數(shù)據(jù)(信用卡號碼和密碼),以發(fā)送到滲出服務器。在該惡意軟件執(zhí)行后,它會將自己設置為服務來自動啟動,以在系統(tǒng)重新啟動時生存,它還會刪除文件以降低被發(fā)現(xiàn)的機率。
思科Talos研究人員指出,這個攻擊中很多硬編碼的IP地址和域名都是使用俄語。雖然使用俄羅斯域名、IP注冊到俄羅斯ISP或者IP地理定位在俄羅斯并不一定意味著該攻擊是由俄羅斯、東歐或中國的犯罪團伙發(fā)起,但對該攻擊這些指標的檢測可以幫助企業(yè)識別這些活動以進行進一步調(diào)查。
目前初次感染矢量尚未明確地確定,但Talos研究人員認為可能是該惡意軟件中使用的鍵盤記錄器。但如果沒有發(fā)現(xiàn)該惡意軟件如何進入POS系統(tǒng),我們就很難識別哪些安全控制失效。另外,該惡意軟件中并沒有發(fā)現(xiàn)漏洞或漏洞利用,所以感染媒介可能很簡單而有效,例如使用USB驅(qū)動器插入到POS終端以自動運行該惡意軟件。
企業(yè)如何抵御PoSeidon惡意軟件
根據(jù)PCI數(shù)據(jù)安全標準的要求,大多數(shù)抵御PoSeidon惡意軟件的安全控制應該已經(jīng)部署在POS環(huán)境中。例如,第一個要求為安裝和維護防火墻設置來保護持卡人數(shù)據(jù),具體要求為1.1.4,企業(yè)須在每個互聯(lián)網(wǎng)連接以及任何隔離區(qū)和內(nèi)部網(wǎng)絡區(qū)之間部署防火墻,這應該可以阻止對未經(jīng)批準外部鏈接的訪問以及阻止惡意軟件下載可執(zhí)行文件。此外,PCI DSS 10.6要求為所有系統(tǒng)組件審查日志和安全事件以發(fā)現(xiàn)異常或可疑活動,而這應該可以檢測可疑網(wǎng)絡連接,并展開調(diào)查來檢測惡意軟件以及可能限制受影響數(shù)據(jù)量。
此外,用于緩解RAM-scraping惡意軟件的安全建議也同樣適用:反惡意軟件技術(shù)可以幫助阻止惡意訪問,特別是監(jiān)控對內(nèi)存訪問的反惡意軟件技術(shù)。同時,白名單工具可以阻止惡意軟件在端點執(zhí)行,以及限制入站和出站網(wǎng)絡訪問可以阻止PoSeidon惡意軟件。
如果在感染PoSeidon的企業(yè)部署了嚴格的IP網(wǎng)絡控制,該惡意軟件編寫者會更加難以滲出收集、下載額外惡意軟件組件以及連接到命令控制基礎設施。因為這樣的話,攻擊者需要確定如何在每個網(wǎng)絡滲出數(shù)據(jù);這可能會導致攻擊者出現(xiàn)更多錯誤,而被檢測到。為了識別潛在受感染的終端以進一步調(diào)查,企業(yè)還可以監(jiān)控DNS流量。Talos公布了幾個感染指標來檢測該惡意軟件,企業(yè)可將這些指標涵蓋在網(wǎng)絡或端點安全工具中。最重要的攻擊指標應該是檢測從POS系統(tǒng)到以下網(wǎng)址的出站連接,這些指標不太會導致誤報:
• wondertechmy[.]com/pes/viewtopic.php
• wondertechmy[.]ru/pes/viewtopic.php
• wondwondnew[.]ru/pes/viewtopic.php
任何發(fā)送數(shù)據(jù)到上述網(wǎng)址的POS系統(tǒng)都必須作為安全事件進行調(diào)查。
對于很多企業(yè)來說,應該已經(jīng)部署了適當?shù)陌踩刂苼碇С諴CI合規(guī)性。中小型企業(yè)可能依靠服務提供商來提供POS系統(tǒng),并認為服務提供商負責維護POS安全,但這只是一個假設;中小企業(yè)應該確保在其服務合同中正式列出了服務提供商的保護責任信息。
PCI合規(guī)的各種要求可能為早就繞過EMV標準的攻擊者提供更多目標。而PoSeidon惡意軟件只是POS系統(tǒng)攻擊中使用的眾多惡意軟件中的又一個惡意軟件,只有企業(yè)為整個系統(tǒng)部署了PCI數(shù)據(jù)安全標準控制,才可能阻止這些類型的惡意軟件。
