愈演愈烈的POS機網絡犯罪
責編:admin |2014-10-21 16:42:22一、背景:2014年為零售商數據泄露之年
盡管網絡罪犯繼續把個人的支付卡和銀行信息作為攻擊目標,但是他們似乎逐漸意識到脆弱的零售商更有利可圖。把零售商作為攻擊目標并不是新鮮;阿爾伯特·岡薩雷近十年前就曾對零售商發起過攻擊。相比以前,唯一的變化是大量可用的工具和能夠讓幾乎一無所知的罪犯發起大規模攻擊的傻瓜式操作。事實說明了一切-最近幾年涉及零售商的重大數據泄露事件一直在持續增長,而且形勢愈演愈烈。實際上,Verizon數據泄露調查報告稱2014年為零售商數據泄露之年,鑒于零售商遭受到的大規模攻擊的數量。
磁條卡的磁條上有3個磁道。磁道1與磁道2是只讀磁道,在使用時磁道上記錄的信息只能讀出而不允許寫或修改。磁道3為讀寫磁道,在使用時可以讀出,也可以寫入。雖然第3磁道可讀寫,并且有金額字段,也只是用于小金額的應用領域,例如電話卡。
不僅零售商的數據泄露事件發生更為頻繁,同時火眼研究人員注意到另一個令人震驚的新趨勢:雖然攻擊活動剛開始并沒有針對性,但是當攻擊者認識到被攻陷網絡的價值,攻擊活動可以輕而易舉地演變為一個目標式攻擊(targeted attack)。
大量容易獲得的POS惡意軟件和通用僵尸網絡之間的結合,加上目標式攻擊活動,暗示著網絡防護者將難以判斷威脅的嚴重性和對手的實力。
二、POS惡意軟件的進化史
自2013年來,我們發現來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規律-因為零售網絡中存留了大量的金融數據。攻擊者正在調整槍口,集結力量,向要害部位發起攻擊。
1.Backoff POS:攻擊在2014年7月被公開披露,但活躍在2013年10月。報道稱攻擊者據攻占遠程桌面服務器,并安裝Backoff惡意軟件。Backoff利用內存搜讀(memory scraping)技術從內存中提取支付卡的數據,通過HTTP偷偷地發送數據。Backoff的C&C控制器連接到曾運行Zeus、SpyEye和Citadel僵尸網絡的服務器,暗示著Backoff涉及到一個更大范圍的攻擊活動。
2.BrutPOS:在2014年7月被公開報道。BrutPOS僵尸網絡掃描特定IP地址段中的遠程桌面服務器,如果發現了POS系統,攻擊者可能部署另一個變種,掃描正在運行程序的內存來提取支付卡信息。BrutPOS通過FTP傳送數據。
3.Soraya:發現于2014年6月。它遍歷正在運行的進程,訪問內存來提取支付卡數據。而且Soraya具備表單截取(Form Scraping)功能,通過HTTP傳送數據。
4.Nemanja:Nemanja的細節是在2014年5月被披露的,而該僵尸網絡卻被認為活躍在整個2013年。攻擊者在世界范圍內攻破大量運行多種POS軟件的機器。據稱攻擊者直接參與了假支付卡的生產和通過移動解決方案進行洗錢的活動。
5.JackPOS:在2014年2月被報道,據報導JackPOS最初通過路過式(drive-by)下載攻擊進行傳播。該惡意軟件似乎和Alina惡意軟件有點關系,能夠利用內存搜讀(memory scraping)技術從內存提取支付卡數據,并通過HTTP發送數據。JackPOS在地下論壇中廣泛流傳并被各種各樣的攻擊者所使用。
關于路過式(drive-by)下載攻擊,請查看網絡罪犯:互聯網叢林中的捕獵者
6.Decebal:初次被報道是在2014年1月。該惡意軟件枚舉正在運行的進程,提取支付卡信息,然后通過HTTP傳送數據。
7.ChewBacca:首此被公布是在2013年11月。該惡意軟件枚舉正在運行的進程,并通過兩個正則表達式從內存重提取支付卡信息。ChewBacca通過Tor匿名網絡傳送數據。
8.BlackPOS:被一個名為“ree4”的個體在地下論壇中販賣,首次公開報道是在2013年3月。BlackPOS有一個名為KAPTOXA的變種,可以利用內存搜讀(memory scraping)技術從內存中抓取支付卡數據。數據通常先轉移到一個本地中轉站,然后再通過FTP發送。BlackPOS因幾起廣為人知的數據泄露事件而為大家所熟知。
9.Alina:首先披露是在2013年2月,被認為和Dexter POS 惡意軟件源自同一作者“dice”。Alina通過Citadel僵尸網絡進行傳播。Alina遍歷正在運行的進程(除了黑名單中的進程),轉儲內存,查找支付卡數據,然后通過HTTP發送。盡管Alina剛開始被少數幾個人使用,隨后被掛在地下論壇上出售。
10.vSkimmer:首次公布是在2013年1月。該惡意軟件遍歷正在運行的進程,訪問內存提取支付卡信息,然后通過HTTP傳送。
11.Dexter:首次披露是在2012年12月,被認為是由一個名為“dice”的開發者開發出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關。該惡意軟件遍歷正在運行的進程,訪問內存來搜索支付卡數據,然后通過HTTP傳送數據。
這些惡意軟件大都使用類似的方法來遍歷正在運行的進程,再通過模式匹配來從進程的內存中提取支付卡信息。然而,在不止一個案例中,如一個BlackPOS變種被配置成只訪問一個特定的進程。這樣不僅能夠減少提取到錯誤數據的情況,同時也表明攻擊者已提前獲知了被攻陷系統中的目標進程。同時該變種包含了一些硬編碼的網絡路徑和用戶名,可能暗示攻擊者針對的是特定目標。
三、無目的攻擊VS目標式攻擊
雖然一些惡意軟件似乎是專門提供給一些特定的攻擊者使用,然而一些變種卻被廣泛的使用。在許多案例中, POS專用的惡意軟件被用于“第二階段”的進攻,然而初始的攻擊途徑(attack vector)尚不清楚。在Aline和BackOff的案例中,POS惡意軟件與Citadel、Zeus以及SpyEye僵尸網絡有關聯。盡管我們仍然不清楚細節,攻擊者(僵尸網絡控制者)可能兜售或交易訪問特定目標的訪問權限。
在其他的案例中,攻擊者似乎十分明確他們的攻擊目標。對目標發起攻擊之前,一個特定的威脅組織會對目標踩點幾個月。我們也觀察到該組織使用SQL注入作為攻擊途徑(attack vector),滲透到目標網絡之后部署POS專用的惡意軟件。
四、結論
涉及到網絡防護時,這些惡意軟件對風險的傳統概念發起了挑戰。雖然目標式攻擊(包括與APT活動有關的目標式攻擊)經過一段時間后能夠被追蹤和歸類(清楚攻擊者所使用的攻擊工具、步驟,還有時機、范圍以及目標的偏好),但是難以對事件處理劃分優先級別,因為這些事件剛開始可能是盲目的攻擊,直到后來才演變為目標式攻擊(targeted attack)活動。
無目的Zeus感染是否是一個值得關注的事件?或是否它將多半被忽略?不料卻演化成了一個重大的數據泄露事件。