บ้าน Securitywatch มัลแวร์หน่วยความจำขโมยข้อมูลจากเป้าหมายได้อย่างไร

มัลแวร์หน่วยความจำขโมยข้อมูลจากเป้าหมายได้อย่างไร

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
Anonim

ในขณะที่ Target ยังคงรักษาความเป็นแม่อยู่กับวิธีที่ผู้โจมตีสามารถจัดการกับเครือข่ายของตนและรวบรวมข้อมูลที่เป็นของผู้ซื้อมากกว่า 70 ล้านคนในตอนนี้เรารู้ว่า RAM ที่ใช้ในการโจมตีมัลแวร์

“ เราไม่ทราบว่าเกิดอะไรขึ้น แต่สิ่งที่เรารู้ก็คือมีการติดตั้งมัลแวร์ในการลงทะเบียน ณ จุดขายของเราซึ่งเราได้กำหนดไว้มาก” Gregg Steinhafel ซีอีโอของ Target กล่าวในการสัมภาษณ์ CNBC พูดคุยถึงการละเมิดล่าสุด บริษัท แรกกล่าวว่าข้อมูลบัตรชำระเงินสำหรับ 40 ล้านคนที่ช็อปที่ร้านค้าปลีกแห่งหนึ่งในช่วงเทศกาลวันหยุด เป้าหมายกล่าวเมื่อสัปดาห์ที่แล้วว่าข้อมูลส่วนบุคคลสำหรับ 70 ล้านคนก็ถูกขโมยไปเช่นกันและนักช็อปที่เข้ามาในร้านค้าในปี 2556 มีความเสี่ยง

แหล่งข่าวที่ไม่มีชื่อบอกรอยเตอร์ในช่วงสุดสัปดาห์ว่ามัลแวร์ที่ใช้ในการโจมตีนั้นเป็นเครื่องขูดแรม RAM scraperer เป็นมัลแวร์ประเภทหนึ่งซึ่งกำหนดเป้าหมายข้อมูลที่เก็บไว้ในหน่วยความจำซึ่งตรงข้ามกับข้อมูลที่บันทึกไว้ในฮาร์ดไดรฟ์หรือถูกส่งผ่านเครือข่าย แม้ว่ามัลแวร์ประเภทนี้จะไม่ใหม่ แต่ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่ามีจำนวน uptick ล่าสุดในจำนวนการโจมตีต่อผู้ค้าปลีกโดยใช้เทคนิคนี้

โจมตีหน่วยความจำ

RAM แครปเปอร์มองเข้าไปในหน่วยความจำของคอมพิวเตอร์เพื่อดึงข้อมูลที่สำคัญในขณะที่กำลังประมวลผลอยู่ ภายใต้กฎมาตรฐานอุตสาหกรรมการรักษาความปลอดภัยข้อมูลของบัตรชำระเงิน (PCI-DSS) ข้อมูลการชำระเงินทั้งหมดจะต้องถูกเข้ารหัสเมื่อมีการจัดเก็บไว้ในระบบ PoS เช่นเดียวกับเมื่อมีการถ่ายโอนไปยังระบบแบ็คเอนด์ ในขณะที่ผู้โจมตียังสามารถขโมยข้อมูลจากฮาร์ดไดรฟ์ได้ แต่พวกเขาไม่สามารถทำอะไรกับมันได้หากมีการเข้ารหัสและความจริงที่ว่าข้อมูลนั้นถูกเข้ารหัสในขณะที่เดินทางผ่านเครือข่ายหมายความว่าผู้โจมตีไม่สามารถสูดดมปริมาณข้อมูล

ซึ่งหมายความว่ามีเพียงหน้าต่างเล็ก ๆ แห่งโอกาส - ทันทีเมื่อซอฟต์แวร์ PoS กำลังประมวลผลข้อมูล - สำหรับผู้โจมตีที่จะคว้าข้อมูล ซอฟต์แวร์จะต้องถอดรหัสข้อมูลชั่วคราวเพื่อดูข้อมูลการทำธุรกรรมและมัลแวร์จับช่วงเวลานั้นเพื่อคัดลอกข้อมูลจากหน่วยความจำ

การเพิ่มขึ้นของมัลแวร์ที่ใช้ RAM ในการขูดสามารถเชื่อมโยงกับความจริงที่ว่าผู้ค้าปลีกเริ่มทำการเข้ารหัสข้อมูลที่ละเอียดอ่อนได้ดีขึ้น Michael Sutton รองประธานฝ่ายการวิจัยด้านความปลอดภัยของ Zscaler กล่าวว่า "มันเป็นการแข่งขันทางด้านอาวุธเราสร้างสิ่งกีดขวางบนถนนและผู้โจมตีปรับตัวและมองหาวิธีอื่น ๆ ในการคว้าข้อมูล" Michael Sutton รองประธานฝ่ายวิจัยความปลอดภัยของ Zscaler กล่าว

มัลแวร์อื่น ๆ

สิ่งสำคัญคือต้องจำไว้ว่าจุดขาย ณ จุดขายนั้นเป็นคอมพิวเตอร์เป็นหลักแม้ว่าจะมีอุปกรณ์ต่อพ่วงเช่นตัวอ่านการ์ดและแผงปุ่มกด พวกเขามีระบบปฏิบัติการและเรียกใช้ซอฟต์แวร์เพื่อจัดการธุรกรรมการขาย พวกเขาเชื่อมต่อกับเครือข่ายเพื่อถ่ายโอนข้อมูลการทำธุรกรรมไปยังระบบแบ็คเอนด์

และเช่นเดียวกับคอมพิวเตอร์อื่น ๆ ระบบ PoS สามารถติดมัลแวร์ได้ “ กฎดั้งเดิมยังคงมีผลบังคับใช้” Chester Wisniewski ที่ปรึกษาด้านความปลอดภัยอาวุโสของ Sophos กล่าว ระบบ PoS สามารถติดเชื้อได้เนื่องจากพนักงานใช้คอมพิวเตอร์เครื่องนั้นไปที่เว็บไซต์ที่โฮสต์มัลแวร์หรือเปิดไฟล์แนบที่เป็นอันตรายโดยไม่ตั้งใจไปที่อีเมล มัลแวร์อาจใช้ประโยชน์จากซอฟต์แวร์ที่ไม่ได้เปรียบบนคอมพิวเตอร์หรือวิธีการต่าง ๆ ที่ส่งผลให้คอมพิวเตอร์ติดไวรัส

“ สิทธิพิเศษที่น้อยกว่าที่คนงานในร้านค้ามีอยู่ในจุดขาย ณ จุดขายซึ่งมีโอกาสน้อยที่พวกเขาจะติดเชื้อ” วิสเนวิสกีกล่าว เครื่องจักรที่ดำเนินการชำระเงินมีความอ่อนไหวเป็นพิเศษและไม่ควรอนุญาตให้ท่องเว็บหรือติดตั้งแอปพลิเคชันที่ไม่ได้รับอนุญาตเขากล่าว

เมื่อคอมพิวเตอร์ติดมัลแวร์จะค้นหาข้อมูลประเภทเฉพาะในหน่วยความจำในกรณีนี้หมายเลขบัตรเครดิตและบัตรเดบิต เมื่อพบหมายเลขมันจะบันทึกลงในไฟล์ข้อความที่มีรายการข้อมูลทั้งหมดที่รวบรวมไว้แล้ว เมื่อถึงจุดหนึ่งมัลแวร์จะส่งไฟล์ซึ่งมักจะผ่านเครือข่ายไปยังคอมพิวเตอร์ของผู้โจมตี

ทุกคนเป็นเป้าหมาย

ในขณะที่ผู้ค้าปลีกกำลังตกเป็นเป้าหมายของการแยกวิเคราะห์หน่วยความจำมัลแวร์ Wisniewski กล่าวว่าองค์กรใดก็ตามที่จัดการบัตรชำระเงินจะมีความเสี่ยง มัลแวร์ประเภทนี้ถูกนำมาใช้ครั้งแรกในภาคบริการและการศึกษาเขากล่าว Sophos อ้างถึง RAM scrapers เป็น Trackr Trojan และผู้ค้ารายอื่นเรียกพวกเขาว่า Alina, Dexter และ Vskimmer

ที่จริงแล้วแครปเปอร์แรมไม่ได้เจาะจงเฉพาะกับระบบ PoS เท่านั้น อาชญากรไซเบอร์สามารถจัดทำมัลแวร์เพื่อขโมยข้อมูลในทุกสถานการณ์ที่ข้อมูลนั้นมักจะถูกเข้ารหัส Sutton กล่าว

วีซ่าออกการแจ้งเตือนด้านความปลอดภัยสองครั้งในเดือนเมษายนและสิงหาคมปีที่แล้วเตือนพ่อค้าแห่งการโจมตีโดยใช้หน่วยความจำ PoS แยกมัลแวร์ “ ตั้งแต่เดือนมกราคม 2556 เป็นต้นมาวีซ่าได้เห็นการเพิ่มขึ้นของการโจมตีเครือข่ายที่เกี่ยวข้องกับผู้ค้าปลีก” วีซ่ากล่าวในเดือนสิงหาคม

ไม่ชัดเจนว่ามัลแวร์เข้าสู่เครือข่ายของ Target ได้อย่างไร แต่มีบางสิ่งที่ชัดเจนว่าล้มเหลว มัลแวร์ไม่ได้ติดตั้งในระบบ PoS เพียงระบบเดียว แต่ในคอมพิวเตอร์หลายเครื่องทั่วประเทศและ "ไม่มีใครสังเกตเห็น" Sutton กล่าว และแม้ว่ามัลแวร์นั้นใหม่เกินกว่าที่โปรแกรมป้องกันไวรัสจะตรวจพบได้ แต่ความจริงที่ว่าการถ่ายโอนข้อมูลออกจากเครือข่ายนั้นควรจะมีการเพิ่มค่าสถานะสีแดง

สำหรับนักช้อปแต่ละคนการไม่ใช้บัตรเครดิตไม่ใช่ตัวเลือกจริงๆ นี่คือเหตุผลที่มันเป็นสิ่งสำคัญที่จะตรวจสอบคำสั่งเป็นประจำและติดตามการทำธุรกรรมทั้งหมดในบัญชีของพวกเขา “ คุณต้องไว้วางใจผู้ค้าปลีกด้วยข้อมูลของคุณ แต่คุณสามารถระมัดระวังตัวได้” ซัตตันกล่าว

มัลแวร์หน่วยความจำขโมยข้อมูลจากเป้าหมายได้อย่างไร