當前位置: 首頁 » 綜合資訊 » 行業(yè)資訊 »

愈演愈烈的POS機網(wǎng)絡犯罪

發(fā)布日期:2014-10-22  中國POS機網(wǎng)

一、背景:2014年為零售商數(shù)據(jù)泄露之年

愈演愈烈的POS機網(wǎng)絡犯罪

盡管網(wǎng)絡罪犯繼續(xù)把個人的支付卡和銀行信息作為攻擊目標,但是他們似乎逐漸意識到脆弱的零售商更有利可圖。把零售商作為攻擊目標并不是新鮮;阿爾伯特·岡薩雷近十年前就曾對零售商發(fā)起過攻擊。相比以前,唯一的變化是大量可用的工具和能夠讓幾乎一無所知的罪犯發(fā)起大規(guī)模攻擊的傻瓜式操作。事實說明了一切-最近幾年涉及零售商的重大數(shù)據(jù)泄露事件一直在持續(xù)增長,而且形勢愈演愈烈。實際上,Verizon數(shù)據(jù)泄露調查報告稱2014年為零售商數(shù)據(jù)泄露之年,鑒于零售商遭受到的大規(guī)模攻擊的數(shù)量。

圖1.常見的支付卡數(shù)據(jù)泄露途徑

科普

磁條卡的磁條上有3個磁道。磁道1與磁道2是只讀磁道,在使用時磁道上記錄的信息只能讀出而不允許寫或修改。磁道3為讀寫磁道,在使用時可以讀出,也可以寫入。雖然第3磁道可讀寫,并且有金額字段,也只是用于小金額的應用領域,例如電話卡。

不僅零售商的數(shù)據(jù)泄露事件發(fā)生更為頻繁,同時火眼研究人員注意到另一個令人震驚的新趨勢:雖然攻擊活動剛開始并沒有針對性,但是當攻擊者認識到被攻陷網(wǎng)絡的價值,攻擊活動可以輕而易舉地演變?yōu)橐粋€目標式攻擊(targeted attack)。

大量容易獲得的POS惡意軟件和通用僵尸網(wǎng)絡之間的結合,加上目標式攻擊活動,暗示著網(wǎng)絡防護者將難以判斷威脅的嚴重性和對手的實力。

二、POS惡意軟件的進化史

自2013年來,我們發(fā)現(xiàn)來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規(guī)律-因為零售網(wǎng)絡中存留了大量的金融數(shù)據(jù)。攻擊者正在調整槍口,集結力量,向要害部位發(fā)起攻擊。

1.Backoff POS:攻擊在2014年7月被公開披露,但活躍在2013年10月。報道稱攻擊者據(jù)攻占遠程桌面服務器,并安裝Backoff惡意軟件。Backoff利用內存搜讀(memory scraping)技術從內存中提取支付卡的數(shù)據(jù),通過HTTP偷偷地發(fā)送數(shù)據(jù)。Backoff的C&C控制器連接到曾運行Zeus、SpyEye和Citadel僵尸網(wǎng)絡的服務器,暗示著Backoff涉及到一個更大范圍的攻擊活動。

2.BrutPOS:在2014年7月被公開報道。BrutPOS僵尸網(wǎng)絡掃描特定IP地址段中的遠程桌面服務器,如果發(fā)現(xiàn)了POS系統(tǒng),攻擊者可能部署另一個變種,掃描正在運行程序的內存來提取支付卡信息。BrutPOS通過FTP傳送數(shù)據(jù)。

3.Soraya:發(fā)現(xiàn)于2014年6月。它遍歷正在運行的進程,訪問內存來提取支付卡數(shù)據(jù)。而且Soraya具備表單截取(Form Scraping)功能,通過HTTP傳送數(shù)據(jù)。

4.Nemanja:Nemanja的細節(jié)是在2014年5月被披露的,而該僵尸網(wǎng)絡卻被認為活躍在整個2013年。攻擊者在世界范圍內攻破大量運行多種POS軟件的機器。據(jù)稱攻擊者直接參與了假支付卡的生產(chǎn)和通過移動解決方案進行洗錢的活動。

5.JackPOS:在2014年2月被報道,據(jù)報導JackPOS最初通過路過式(drive-by)下載攻擊進行傳播。該惡意軟件似乎和Alina惡意軟件有點關系,能夠利用內存搜讀(memory scraping)技術從內存提取支付卡數(shù)據(jù),并通過HTTP發(fā)送數(shù)據(jù)。JackPOS在地下論壇中廣泛流傳并被各種各樣的攻擊者所使用。

關于路過式(drive-by)下載攻擊,請查看網(wǎng)絡罪犯:互聯(lián)網(wǎng)叢林中的捕獵者

6.Decebal:初次被報道是在2014年1月。該惡意軟件枚舉正在運行的進程,提取支付卡信息,然后通過HTTP傳送數(shù)據(jù)。

7.ChewBacca:首此被公布是在2013年11月。該惡意軟件枚舉正在運行的進程,并通過兩個正則表達式從內存重提取支付卡信息。ChewBacca通過Tor匿名網(wǎng)絡傳送數(shù)據(jù)。

8.BlackPOS:被一個名為“ree4”的個體在地下論壇中販賣,首次公開報道是在2013年3月。BlackPOS有一個名為KAPTOXA的變種,可以利用內存搜讀(memory scraping)技術從內存中抓取支付卡數(shù)據(jù)。數(shù)據(jù)通常先轉移到一個本地中轉站,然后再通過FTP發(fā)送。BlackPOS因幾起廣為人知的數(shù)據(jù)泄露事件而為大家所熟知。

9.Alina:首先披露是在2013年2月,被認為和Dexter POS 惡意軟件源自同一作者“dice”。Alina通過Citadel僵尸網(wǎng)絡進行傳播。Alina遍歷正在運行的進程(除了黑名單中的進程),轉儲內存,查找支付卡數(shù)據(jù),然后通過HTTP發(fā)送。盡管Alina剛開始被少數(shù)幾個人使用,隨后被掛在地下論壇上出售。

10.vSkimmer:首次公布是在2013年1月。該惡意軟件遍歷正在運行的進程,訪問內存提取支付卡信息,然后通過HTTP傳送。

11.Dexter:首次披露是在2012年12月,被認為是由一個名為“dice”的開發(fā)者開發(fā)出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關。該惡意軟件遍歷正在運行的進程,訪問內存來搜索支付卡數(shù)據(jù),然后通過HTTP傳送數(shù)據(jù)。

這些惡意軟件大都使用類似的方法來遍歷正在運行的進程,再通過模式匹配來從進程的內存中提取支付卡信息。然而,在不止一個案例中,如一個BlackPOS變種被配置成只訪問一個特定的進程。這樣不僅能夠減少提取到錯誤數(shù)據(jù)的情況,同時也表明攻擊者已提前獲知了被攻陷系統(tǒng)中的目標進程。同時該變種包含了一些硬編碼的網(wǎng)絡路徑和用戶名,可能暗示攻擊者針對的是特定目標。

三、無目的攻擊VS目標式攻擊

雖然一些惡意軟件似乎是專門提供給一些特定的攻擊者使用,然而一些變種卻被廣泛的使用。在許多案例中, POS專用的惡意軟件被用于“第二階段”的進攻,然而初始的攻擊途徑(attack vector)尚不清楚。在Aline和BackOff的案例中,POS惡意軟件與Citadel、Zeus以及SpyEye僵尸網(wǎng)絡有關聯(lián)。盡管我們仍然不清楚細節(jié),攻擊者(僵尸網(wǎng)絡控制者)可能兜售或交易訪問特定目標的訪問權限。

圖2.盜取支付卡數(shù)據(jù)的新趨勢

在其他的案例中,攻擊者似乎十分明確他們的攻擊目標。對目標發(fā)起攻擊之前,一個特定的威脅組織會對目標踩點幾個月。我們也觀察到該組織使用SQL注入作為攻擊途徑(attack vector),滲透到目標網(wǎng)絡之后部署POS專用的惡意軟件。

四、結論

涉及到網(wǎng)絡防護時,這些惡意軟件對風險的傳統(tǒng)概念發(fā)起了挑戰(zhàn)。雖然目標式攻擊(包括與APT活動有關的目標式攻擊)經(jīng)過一段時間后能夠被追蹤和歸類(清楚攻擊者所使用的攻擊工具、步驟,還有時機、范圍以及目標的偏好),但是難以對事件處理劃分優(yōu)先級別,因為這些事件剛開始可能是盲目的攻擊,直到后來才演變?yōu)槟繕耸焦?targeted attack)活動。

無目的Zeus感染是否是一個值得關注的事件?或是否它將多半被忽略?不料卻演化成了一個重大的數(shù)據(jù)泄露事件。

打賞
 
?
免責聲明:
本網(wǎng)站部分內容來源于網(wǎng)站會員、合作媒體、企業(yè)機構、網(wǎng)友提供和互聯(lián)網(wǎng)的公開資料等,僅供參考。本網(wǎng)站對站內所有資訊的內容、觀點保持中立,不對內容的準確性、可靠性或完整性提供任何明示或暗示的保證。如果有侵權等問題,請及時聯(lián)系我們,我們將在收到通知后第一時間妥善處理該部分內容。

圖文推薦

您在本欄的歷史瀏覽
熱門資訊

中國POS機行業(yè)權威門戶網(wǎng)站 引領行業(yè)發(fā)展


微信號:pos580com

網(wǎng)站首頁 | 網(wǎng)站地圖 | 誠征英才 | 關于我們 | 聯(lián)系方式 | 使用協(xié)議 | 版權隱私 | 排名推廣 | 廣告服務 | 積分換禮 | 網(wǎng)站留言 | RSS訂閱

版權所有:POS機網(wǎng) 北京瑞紀華人科技有限公司 京ICP證060984  |  京ICP備07503063號

聯(lián)系電話:010-51658061 E-mail:bjsale#pos580.com(請把#替換成@)在線QQ:841617225

站所有信息均屬本站版權所有,如需轉載請注明來源地址 域名:500635.com