POS終端惡意軟件（例如最新的POSeidon惡意軟件）正不斷演變以避免被檢測，企業(yè)應(yīng)該如何應(yīng)付呢？

針對POS終端的惡意軟件仍然是犯罪團伙積極發(fā)展的領(lǐng)域，這些地下組織依靠獲取泄露的信用卡數(shù)據(jù)來賺錢，并且似乎從來不會感到滿足。然而，隨著數(shù)據(jù)泄露事故被檢測以及問題被解決，信用卡公司和銀行已經(jīng)迅速分發(fā)新卡給已泄露卡信息的消費者，這對于消費者來說是好事，對攻擊者是壞事。

為了跟上銀行更換受影響信用卡的速度以及免受企業(yè)惡意防御技術(shù)的檢測，POS終端（POS）惡意軟件編寫者需要保持其惡意軟件的更新，這包括采用新戰(zhàn)略來攻擊系統(tǒng)，以及采取措施來避免被檢測。

這種貓捉老鼠的游戲還會繼續(xù)下去，除非在處理支付方面出現(xiàn)根本性的改變。在本文中，讓我們探討一下最新的PoSeidon銷售終端惡意軟件的工作原理以及安全團隊應(yīng)該如何應(yīng)對它。

PoSeidon POS終端惡意軟件

PoSeidon惡意軟件是針對POS系統(tǒng)的新惡意軟件，它使用RAM scraping來獲取信用卡號碼，正如Zeus和BlackPoS那樣，不同的是，PoSeidon還包含一個鍵盤記錄器來獲取密碼，以及其他高級功能。

當這個多階段攻擊感染本地系統(tǒng)時，它會從硬編碼的命令和控制服務(wù)器下載可執(zhí)行文件用于保持攻擊持久性和編碼目標數(shù)據(jù)（信用卡號碼和密碼），以發(fā)送到滲出服務(wù)器。在該惡意軟件執(zhí)行后，它會將自己設(shè)置為服務(wù)來自動啟動，以在系統(tǒng)重新啟動時生存，它還會刪除文件以降低被發(fā)現(xiàn)的機率。

思科Talos研究人員指出，這個攻擊中很多硬編碼的IP地址和域名都是使用俄語。雖然使用俄羅斯域名、IP注冊到俄羅斯ISP或者IP地理定位在俄羅斯并不一定意味著該攻擊是由俄羅斯、東歐或中國的犯罪團伙發(fā)起，但對該攻擊這些指標的檢測可以幫助企業(yè)識別這些活動以進行進一步調(diào)查。

目前初次感染矢量尚未明確地確定，但Talos研究人員認為可能是該惡意軟件中使用的鍵盤記錄器。但如果沒有發(fā)現(xiàn)該惡意軟件如何進入POS系統(tǒng)，我們就很難識別哪些安全控制失效。另外，該惡意軟件中并沒有發(fā)現(xiàn)漏洞或漏洞利用，所以感染媒介可能很簡單而有效，例如使用USB驅(qū)動器插入到POS終端以自動運行該惡意軟件。

企業(yè)如何抵御PoSeidon惡意軟件

根據(jù)PCI數(shù)據(jù)安全標準的要求，大多數(shù)抵御PoSeidon惡意軟件的安全控制應(yīng)該已經(jīng)部署在POS環(huán)境中。例如，第一個要求為安裝和維護防火墻設(shè)置來保護持卡人數(shù)據(jù)，具體要求為1.1.4，企業(yè)須在每個互聯(lián)網(wǎng)連接以及任何隔離區(qū)和內(nèi)部網(wǎng)絡(luò)區(qū)之間部署防火墻，這應(yīng)該可以阻止對未經(jīng)批準外部鏈接的訪問以及阻止惡意軟件下載可執(zhí)行文件。此外，PCI DSS 10.6要求為所有系統(tǒng)組件審查日志和安全事件以發(fā)現(xiàn)異常或可疑活動，而這應(yīng)該可以檢測可疑網(wǎng)絡(luò)連接，并展開調(diào)查來檢測惡意軟件以及可能限制受影響數(shù)據(jù)量。

此外，用于緩解RAM-scraping惡意軟件的安全建議也同樣適用：反惡意軟件技術(shù)可以幫助阻止惡意訪問，特別是監(jiān)控對內(nèi)存訪問的反惡意軟件技術(shù)。同時，白名單工具可以阻止惡意軟件在端點執(zhí)行，以及限制入站和出站網(wǎng)絡(luò)訪問可以阻止PoSeidon惡意軟件。

如果在感染PoSeidon的企業(yè)部署了嚴格的IP網(wǎng)絡(luò)控制，該惡意軟件編寫者會更加難以滲出收集、下載額外惡意軟件組件以及連接到命令控制基礎(chǔ)設(shè)施。因為這樣的話，攻擊者需要確定如何在每個網(wǎng)絡(luò)滲出數(shù)據(jù)；這可能會導(dǎo)致攻擊者出現(xiàn)更多錯誤，而被檢測到。為了識別潛在受感染的終端以進一步調(diào)查，企業(yè)還可以監(jiān)控DNS流量。Talos公布了幾個感染指標來檢測該惡意軟件，企業(yè)可將這些指標涵蓋在網(wǎng)絡(luò)或端點安全工具中。最重要的攻擊指標應(yīng)該是檢測從POS系統(tǒng)到以下網(wǎng)址的出站連接，這些指標不太會導(dǎo)致誤報：

• wondertechmy[.]com/pes/viewtopic.php

• wondertechmy[.]ru/pes/viewtopic.php

• wondwondnew[.]ru/pes/viewtopic.php

任何發(fā)送數(shù)據(jù)到上述網(wǎng)址的POS系統(tǒng)都必須作為安全事件進行調(diào)查。

對于很多企業(yè)來說，應(yīng)該已經(jīng)部署了適當?shù)陌踩刂苼碇С諴CI合規(guī)性。中小型企業(yè)可能依靠服務(wù)提供商來提供POS系統(tǒng)，并認為服務(wù)提供商負責(zé)維護POS安全，但這只是一個假設(shè)；中小企業(yè)應(yīng)該確保在其服務(wù)合同中正式列出了服務(wù)提供商的保護責(zé)任信息。

PCI合規(guī)的各種要求可能為早就繞過EMV標準的攻擊者提供更多目標。而PoSeidon惡意軟件只是POS系統(tǒng)攻擊中使用的眾多惡意軟件中的又一個惡意軟件，只有企業(yè)為整個系統(tǒng)部署了PCI數(shù)據(jù)安全標準控制，才可能阻止這些類型的惡意軟件。