Video: RAM Scraping and Point of Sale Malware (Oktober 2024)
Mens Target stadig holder mor om, hvordan angribere formåede at bryde sit netværk og samle information, der tilhørte mere end 70 millioner kunder, ved vi nu, at RAM-skrabning af malware blev brugt i angrebet.
"Vi ved ikke det fulde omfang af, hvad der skete, men hvad vi ved, er, at der var malware installeret i vores salgssteder-registre. Så meget vi har etableret, " sagde Target CEO Gregg Steinhafel i et interview med CNBC diskuterede den nylige overtrædelse. Virksomheden sagde oprindeligt, at betalingskortoplysninger til 40 millioner mennesker, der handlede på et af dets forretninger i løbet af feriesæsonen var kompromitteret. Target sagde i sidste uge, at personlige oplysninger til 70 millioner mennesker også blev stjålet, og at enhver kunde, der kom til butikkerne i hele 2013, var i fare.
Ukendte kilder fortalte Reuters i weekenden, at malware, der blev brugt i angrebet, var en RAM-skraber. En RAM-skraber er en bestemt type malware, der er målrettet mod oplysninger, der er gemt i hukommelsen, i modsætning til oplysninger, der er gemt på harddisken eller transmitteres over netværket. Mens denne klasse af malware ikke er ny, siger sikkerhedseksperter, at der for nylig har været en uptick i antallet af angreb mod detailhandlere, der bruger denne teknik.
Angriber hukommelse
RAM-skrabere kigger ind i computerens hukommelse for at hente følsomme data, mens de behandles. I henhold til de nuværende regler for betalingskortindustri-datasikkerhedsstandard (PCI-DSS) skal alle betalingsoplysninger krypteres, når de gemmes på PoS-systemet såvel som når de overføres til back-end-systemer. Mens angribere stadig kan stjæle dataene fra harddisken, kan de ikke gøre noget med det, hvis de er krypteret, og det faktum, at dataene er krypteret, mens de rejser over netværket, betyder, at angribere ikke kan sniffe trafikken for at stjæle noget.
Dette betyder, at der kun er et lille mulighedsvindue - det øjeblik, hvor PoS-softwaren behandler oplysningerne - for angribere at få fat i dataene. Softwaren skal midlertidigt dekryptere dataene for at se transaktionsoplysningerne, og malware griber fat i det øjeblik for at kopiere oplysningerne fra hukommelsen.
Stigningen i RAM-skraber malware kan knyttes til det faktum, at detailhandlere bliver bedre til at kryptere følsomme data. "Det er et våbenløb. Vi kaster en spærring, og angriberen tilpasser sig og ser efter andre måder at få fat i dataene på, " sagde Michael Sutton, vicepræsident for sikkerhedsundersøgelser i Zscaler.
Bare en anden malware
Det er vigtigt at huske, at point-of-sale-terminaler i det væsentlige er computere, omend med perifere enheder som kortlæsere og tastaturer tilknyttet. De har et operativsystem og kører software til at håndtere salgstransaktionerne. De er forbundet til netværket for at overføre transaktionsdata til back-end-systemer.
Og ligesom enhver anden computer kan PoS-systemer inficeres med malware. "Traditionelle regler gælder stadig, " sagde Chester Wisniewski, en senior sikkerhedsrådgiver hos Sophos. PoS-systemet kan inficeres, fordi medarbejderen brugte computeren til at gå til et websted, der er vært for malware, eller ved et uheld åbnede en ondsindet vedhæftet fil til en e-mail. Malware kan have udnyttet usendt software på computeren eller en af de mange metoder, der resulterer i, at en computer bliver inficeret.
"Jo mindre privilegium butiksarbejderne har på salgsstederne, jo mindre sandsynligt vil de blive inficeret, " sagde Wisniewski. Maskiner, der behandler betalinger, er ekstra følsomme og bør ikke tillade websurfing eller installation af uautoriserede applikationer, sagde han.
Når computeren er inficeret, søger malware efter specifikke typer data i hukommelsen - i dette tilfælde kredit- og betalingskortnumre. Når det finder nummeret, gemmer det det i en tekstfil, der indeholder listen over alle de data, det allerede har samlet. På et tidspunkt sender malware derefter filen - normalt over netværket - til angriberens computer.
Enhver er et mål
Mens detailhandlere i øjeblikket er et mål for hukommelse at analysere malware, sagde Wisniewski, at enhver organisation, der håndterer betalingskort, ville være sårbar. Denne type malware blev oprindeligt brugt i sektoren for gæstfrihed og uddannelse, sagde han. Sophos refererer til RAM-skrabere som Trackr Trojan, og andre leverandører kalder dem Alina, Dexter og Vskimmer.
Faktisk er RAM-skrabere ikke specifikke for bare PoS-systemer. Cyber-kriminelle kan pakke malware ind for at stjæle data i enhver situation, hvor informationen normalt er krypteret, sagde Sutton.
Visa udsendte to sikkerhedsadvarsler i april og august sidste år, der advarede købmænd om angreb ved hjælp af hukommelses-parsing af PoS malware. "Siden januar 2013 har Visa oplevet en stigning i netværksindtrængen, der involverer detailhandlere, " sagde Visa i august.
Det er ikke klart, hvordan malware kom på Targets netværk, men det er klart, at noget mislykkedes. Malware var ikke installeret på kun et PoS-system, men på mange computere rundt om i landet, og "ingen bemærkede det, " sagde Sutton. Og selv hvis malware var for ny til, at antivirus kunne registrere det, burde det faktum, at det overførte data ud af netværket, have rejst røde flag, tilføjede han.
For den enkelte shopper er det ikke rigtig at bruge kreditkort. Derfor er det vigtigt at regelmæssigt overvåge opgørelserne og spore alle transaktioner på deres konti. "Du er nødt til at stole på detailhandlerne med dine data, men du kan også være opmærksom, " sagde Sutton.
