愈演愈烈的POS機網(wǎng)絡(luò)犯罪
一、背景:2014年為零售商數(shù)據(jù)泄露之年
盡管網(wǎng)絡(luò)罪犯繼續(xù)把個人的支付卡和銀行信息作為攻擊目標(biāo),但是他們似乎逐漸意識到脆弱的零售商更有利可圖。把零售商作為攻擊目標(biāo)并不是新鮮;阿爾伯特·岡薩雷近十年前就曾對零售商發(fā)起過攻擊。相比以前,唯一的變化是大量可用的工具和能夠讓幾乎一無所知的罪犯發(fā)起大規(guī)模攻擊的傻瓜式操作。事實說明了一切-最近幾年涉及零售商的重大數(shù)據(jù)泄露事件一直在持續(xù)增長,而且形勢愈演愈烈。實際上,Verizon數(shù)據(jù)泄露調(diào)查報告稱2014年為零售商數(shù)據(jù)泄露之年,鑒于零售商遭受到的大規(guī)模攻擊的數(shù)量。
圖1.常見的支付卡數(shù)據(jù)泄露途徑
科普
磁條卡的磁條上有3個磁道。磁道1與磁道2是只讀磁道,在使用時磁道上記錄的信息只能讀出而不允許寫或修改。磁道3為讀寫磁道,在使用時可以讀出,也可以寫入。雖然第3磁道可讀寫,并且有金額字段,也只是用于小金額的應(yīng)用領(lǐng)域,例如電話卡。
不僅零售商的數(shù)據(jù)泄露事件發(fā)生更為頻繁,同時火眼研究人員注意到另一個令人震驚的新趨勢:雖然攻擊活動剛開始并沒有針對性,但是當(dāng)攻擊者認(rèn)識到被攻陷網(wǎng)絡(luò)的價值,攻擊活動可以輕而易舉地演變?yōu)橐粋€目標(biāo)式攻擊(targeted attack)。
大量容易獲得的POS惡意軟件和通用僵尸網(wǎng)絡(luò)之間的結(jié)合,加上目標(biāo)式攻擊活動,暗示著網(wǎng)絡(luò)防護者將難以判斷威脅的嚴(yán)重性和對手的實力。#p#
二、POS惡意軟件的進化史
自2013年來,我們發(fā)現(xiàn)來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規(guī)律-因為零售網(wǎng)絡(luò)中存留了大量的金融數(shù)據(jù)。攻擊者正在調(diào)整槍口,集結(jié)力量,向要害部位發(fā)起攻擊。
1.Backoff POS:攻擊在2014年7月被公開披露,但活躍在2013年10月。報道稱攻擊者據(jù)攻占遠(yuǎn)程桌面服務(wù)器,并安裝Backoff惡意軟件。Backoff利用內(nèi)存搜讀(memory scraping)技術(shù)從內(nèi)存中提取支付卡的數(shù)據(jù),通過HTTP偷偷地發(fā)送數(shù)據(jù)。Backoff的C&C控制器連接到曾運行Zeus、SpyEye和Citadel僵尸網(wǎng)絡(luò)的服務(wù)器,暗示著Backoff涉及到一個更大范圍的攻擊活動。
2.BrutPOS:在2014年7月被公開報道。BrutPOS僵尸網(wǎng)絡(luò)掃描特定IP地址段中的遠(yuǎn)程桌面服務(wù)器,如果發(fā)現(xiàn)了POS系統(tǒng),攻擊者可能部署另一個變種,掃描正在運行程序的內(nèi)存來提取支付卡信息。BrutPOS通過FTP傳送數(shù)據(jù)。
3.Soraya:發(fā)現(xiàn)于2014年6月。它遍歷正在運行的進程,訪問內(nèi)存來提取支付卡數(shù)據(jù)。而且Soraya具備表單截取(Form Scraping)功能,通過HTTP傳送數(shù)據(jù)。
4.Nemanja:Nemanja的細(xì)節(jié)是在2014年5月被披露的,而該僵尸網(wǎng)絡(luò)卻被認(rèn)為活躍在整個2013年。攻擊者在世界范圍內(nèi)攻破大量運行多種POS軟件的機器。據(jù)稱攻擊者直接參與了假支付卡的生產(chǎn)和通過移動解決方案進行洗錢的活動。
5.JackPOS:在2014年2月被報道,據(jù)報導(dǎo)JackPOS最初通過路過式(drive-by)下載攻擊進行傳播。該惡意軟件似乎和Alina惡意軟件有點關(guān)系,能夠利用內(nèi)存搜讀(memory scraping)技術(shù)從內(nèi)存提取支付卡數(shù)據(jù),并通過HTTP發(fā)送數(shù)據(jù)。JackPOS在地下論壇中廣泛流傳并被各種各樣的攻擊者所使用。
關(guān)于路過式(drive-by)下載攻擊,請查看網(wǎng)絡(luò)罪犯:互聯(lián)網(wǎng)叢林中的捕獵者
6.Decebal:初次被報道是在2014年1月。該惡意軟件枚舉正在運行的進程,提取支付卡信息,然后通過HTTP傳送數(shù)據(jù)。
7.ChewBacca:首此被公布是在2013年11月。該惡意軟件枚舉正在運行的進程,并通過兩個正則表達(dá)式從內(nèi)存重提取支付卡信息。ChewBacca通過Tor匿名網(wǎng)絡(luò)傳送數(shù)據(jù)。
8.BlackPOS:被一個名為“ree4”的個體在地下論壇中販賣,首次公開報道是在2013年3月。BlackPOS有一個名為KAPTOXA的變種,可以利用內(nèi)存搜讀(memory scraping)技術(shù)從內(nèi)存中抓取支付卡數(shù)據(jù)。數(shù)據(jù)通常先轉(zhuǎn)移到一個本地中轉(zhuǎn)站,然后再通過FTP發(fā)送。BlackPOS因幾起廣為人知的數(shù)據(jù)泄露事件而為大家所熟知。
9.Alina:首先披露是在2013年2月,被認(rèn)為和Dexter POS 惡意軟件源自同一作者“dice”。Alina通過Citadel僵尸網(wǎng)絡(luò)進行傳播。Alina遍歷正在運行的進程(除了黑名單中的進程),轉(zhuǎn)儲內(nèi)存,查找支付卡數(shù)據(jù),然后通過HTTP發(fā)送。盡管Alina剛開始被少數(shù)幾個人使用,隨后被掛在地下論壇上出售。
10.vSkimmer:首次公布是在2013年1月。該惡意軟件遍歷正在運行的進程,訪問內(nèi)存提取支付卡信息,然后通過HTTP傳送。
11.Dexter:首次披露是在2012年12月,被認(rèn)為是由一個名為“dice”的開發(fā)者開發(fā)出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關(guān)。該惡意軟件遍歷正在運行的進程,訪問內(nèi)存來搜索支付卡數(shù)據(jù),然后通過HTTP傳送數(shù)據(jù)。
這些惡意軟件大都使用類似的方法來遍歷正在運行的進程,再通過模式匹配來從進程的內(nèi)存中提取支付卡信息。然而,在不止一個案例中,如一個BlackPOS變種被配置成只訪問一個特定的進程。這樣不僅能夠減少提取到錯誤數(shù)據(jù)的情況,同時也表明攻擊者已提前獲知了被攻陷系統(tǒng)中的目標(biāo)進程。同時該變種包含了一些硬編碼的網(wǎng)絡(luò)路徑和用戶名,可能暗示攻擊者針對的是特定目標(biāo)。#p#
三、無目的攻擊VS目標(biāo)式攻擊
雖然一些惡意軟件似乎是專門提供給一些特定的攻擊者使用,然而一些變種卻被廣泛的使用。在許多案例中, POS專用的惡意軟件被用于“第二階段”的進攻,然而初始的攻擊途徑(attack vector)尚不清楚。在Aline和BackOff的案例中,POS惡意軟件與Citadel、Zeus以及SpyEye僵尸網(wǎng)絡(luò)有關(guān)聯(lián)。盡管我們?nèi)匀徊磺宄?xì)節(jié),攻擊者(僵尸網(wǎng)絡(luò)控制者)可能兜售或交易訪問特定目標(biāo)的訪問權(quán)限。
圖2.盜取支付卡數(shù)據(jù)的新趨勢
在其他的案例中,攻擊者似乎十分明確他們的攻擊目標(biāo)。對目標(biāo)發(fā)起攻擊之前,一個特定的威脅組織會對目標(biāo)踩點幾個月。我們也觀察到該組織使用SQL注入作為攻擊途徑(attack vector),滲透到目標(biāo)網(wǎng)絡(luò)之后部署POS專用的惡意軟件。
四、結(jié)論
涉及到網(wǎng)絡(luò)防護時,這些惡意軟件對風(fēng)險的傳統(tǒng)概念發(fā)起了挑戰(zhàn)。雖然目標(biāo)式攻擊(包括與APT活動有關(guān)的目標(biāo)式攻擊)經(jīng)過一段時間后能夠被追蹤和歸類(清楚攻擊者所使用的攻擊工具、步驟,還有時機、范圍以及目標(biāo)的偏好),但是難以對事件處理劃分優(yōu)先級別,因為這些事件剛開始可能是盲目的攻擊,直到后來才演變?yōu)槟繕?biāo)式攻擊(targeted attack)活動。
無目的Zeus感染是否是一個值得關(guān)注的事件?或是否它將多半被忽略?不料卻演化成了一個重大的數(shù)據(jù)泄露事件。
原文地址:http://www.fireeye.com/blog/uncategorized/2014/10/data-theft-in-aisle-9-a-fireeye-look-at-threats-to-retailers.html
