美第二大零售商家得寶遭大規模惡意攻擊
責編:admin |2014-09-19 15:49:33隨著網絡安全威脅的不斷擴散,POS機、ATM機等支付終端設備正在成為日益凸顯的被攻擊對象。近日,美國第二大家居建材用品零售商家得寶(Home Depot)遭遇POS機攻擊,影響了全美國大約2200家門店,受影響的客戶數以百萬計,被盜的信息包含用戶信用卡號碼、郵政編碼等重要隱私數據,這些被盜信息已經被黑客放在一家網站上出售。去年年底,當時美國第二大零售商塔吉特(Target)公司因被黑客入侵,造成了至少1.1億用戶的個人信息泄露。時隔不久,北美著名中餐餐飲連鎖企業P.F. Chang’s也發表聲明稱確認大量用戶數據已經泄露。由于此類攻擊事件越來越多,趨勢科技提醒相關企業務必重視支付終端設備的安全防護。
有跡象顯示,家得寶此次遭受的攻擊與針對Target 和P.F. Chang’s遭受的攻擊類似,很可能是來自烏克蘭、俄羅斯的同一黑客所為,黑客采用了名為BlackPOS的惡意軟件發動攻擊,該惡意軟件已經被趨勢科技監測為“TSPY_MEMLOG.A”惡意程序。早在2012年,BlackPOS的源代碼就已經被泄露,使得其它網絡犯罪分子可以通過特定的渠道獲取源代碼,并加以改進,以更高效的執行攻擊任務。在侵入目標系統之后,“TSPY_MEMLOG.A”會偽裝成一個已安裝的殺毒軟件廠商的軟件服務,以避免被檢測到。
“TSPY_MEMLOG.A”的另一個新特點是,它會調用“CreateToolhelp32Snapshot ”API來列出并遍歷所有正在運行的進程。不同于利用了“EnumProcesses” API的變種,“TSPY_MEMLOG.A”通常使用正則表達式來搜索支付卡的內容,這也被稱為“跟蹤數據”。 惡意程序搜索的數據會被傳送到一個特定的網絡位置上,然后會被上傳到由攻擊者控制的FTP服務器。
趨勢科技(中國區)資深產品經理蔣世琪表示:“此類專門針對POS、ATM機等終端設備的惡意軟件,通常通過內網的惡意鏈接或者黑客直接攻擊系統而且被植入終端設備中,在用戶發現信息被竊取之前,都會靜靜地駐留在終端中以竊取數據,這增加了防范的難度。而隨著電子支付的日益流行,針對POS機、ATM機等支付終端設備的攻擊也在不斷增多。”
由于黑客可以通過多種途徑來入侵支付終端設備,因此趨勢科技建議銀行、零售商等企業實施多層次安全解決方案,以確保他們的網絡不受現有系統、應用的漏洞所影響。此外,犯罪分子還會利用已知的內部應用程序來隱藏他們的蹤跡,因此企業還要檢查系統組件是否已經被修改。IT管理員還可以通過惡意程序的入侵跡象與行為,來確定他們的網絡是否被BlackPOS所侵入。
要掌控惡意軟件的入侵跡象,用戶可以部署趨勢科技威脅發現設備TDA,趨勢科技TDA 提供了完整的攻擊分析,從“偵測 – 分析 – 加固 – 響應”四個階段進行攻擊生命周期研究及提供解決信息,可強化現有的信息安全防護措施并與其整合,形成一套完整且針對客戶環境量身定制的個性化防御方案,讓企業在符合成本效益的情況下保護其信息、通訊與數字資產。