POS终端恶意软件(例如最新的PoSeidon恶意软件)正不断演变以避免被检测,企业应该如何应付呢?
针对POS终端的恶意软件仍然是犯罪团伙积极发展的领域,这些地下组织依靠获取泄露的信用卡数据来赚钱,并且似乎从来不会感到满足。然而,随着数据泄露事故被检测以及问题被解决,信用卡公司和银行已经迅速分发新卡给已泄露卡信息的消费者,这对于消费者来说是好事,对攻击者是坏事。
为了跟上银行更换受影响信用卡的速度以及免受企业恶意防御技术的检测,POS终端(POS)恶意软件编写者需要保持其恶意软件的更新,这包括采用新战略来攻击系统,以及采取措施来避免被检测。
这种猫捉老鼠的游戏还会继续下去,除非在处理支付方面出现根本性的改变。在本文中,让我们探讨一下最新的PoSeidon销售终端恶意软件的工作原理以及安全团队应该如何应对它。
PoSeidon POS终端恶意软件
PoSeidon恶意软件是针对POS系统的新恶意软件,它使用RAM scraping来获取信用卡号码,正如Zeus和BlackPoS那样,不同的是,PoSeidon还包含一个键盘记录器来获取密码,以及其他高级功能。
当这个多阶段攻击感染本地系统时,它会从硬编码的命令和控制服务器下载可执行文件用于保持攻击持久性和编码目标数据(信用卡号码和密码),以发送到渗出服务器。在该恶意软件执行后,它会将自己设置为服务来自动启动,以在系统重新启动时生存,它还会删除文件以降低被发现的机率。
思科Talos研究人员指出,这个攻击中很多硬编码的IP地址和域名都是使用俄语。虽然使用俄罗斯域名、IP注册到俄罗斯ISP或者IP地理定位在俄罗斯并不一定意味着该攻击是由俄罗斯、东欧或中国的犯罪团伙发起,但对该攻击这些指标的检测可以帮助企业识别这些活动以进行进一步调查。
目前初次感染矢量尚未明确地确定,但Talos研究人员认为可能是该恶意软件中使用的键盘记录器。但如果没有发现该恶意软件如何进入POS系统,我们就很难识别哪些安全控制失效。另外,该恶意软件中并没有发现漏洞或漏洞利用,所以感染媒介可能很简单而有效,例如使用USB驱动器插入到POS终端以自动运行该恶意软件。
企业如何抵御PoSeidon恶意软件
根据PCI数据安全标准的要求,大多数抵御PoSeidon恶意软件的安全控制应该已经部署在POS环境中。例如,第一个要求为安装和维护防火墙设置来保护持卡人数据,具体要求为1.1.4,企业须在每个互联网连接以及任何隔离区和内部网络区之间部署防火墙,这应该可以阻止对未经批准外部链接的访问以及阻止恶意软件下载可执行文件。此外,PCI DSS 10.6要求为所有系统组件审查日志和安全事件以发现异常或可疑活动,而这应该可以检测可疑网络连接,并展开调查来检测恶意软件以及可能限制受影响数据量。
此外,用于缓解RAM-scraping恶意软件的安全建议也同样适用:反恶意软件技术可以帮助阻止恶意访问,特别是监控对内存访问的反恶意软件技术。同时,白名单工具可以阻止恶意软件在端点执行,以及限制入站和出站网络访问可以阻止PoSeidon恶意软件。
如果在感染PoSeidon的企业部署了严格的IP网络控制,该恶意软件编写者会更加难以渗出收集、下载额外恶意软件组件以及连接到命令控制基础设施。因为这样的话,攻击者需要确定如何在每个网络渗出数据;这可能会导致攻击者出现更多错误,而被检测到。为了识别潜在受感染的终端以进一步调查,企业还可以监控DNS流量。Talos公布了几个感染指标来检测该恶意软件,企业可将这些指标涵盖在网络或端点安全工具中。最重要的攻击指标应该是检测从POS系统到以下网址的出站连接,这些指标不太会导致误报:
• wondertechmy[.]com/pes/viewtopic.php
• wondertechmy[.]ru/pes/viewtopic.php
• wondwondnew[.]ru/pes/viewtopic.php
任何发送数据到上述网址的POS系统都必须作为安全事件进行调查。
对于很多企业来说,应该已经部署了适当的安全控制来支持PCI合规性。中小型企业可能依靠服务提供商来提供POS系统,并认为服务提供商负责维护POS安全,但这只是一个假设;中小企业应该确保在其服务合同中正式列出了服务提供商的保护责任信息。
PCI合规的各种要求可能为早就绕过EMV标准的攻击者提供更多目标。而PoSeidon恶意软件只是POS系统攻击中使用的众多恶意软件中的又一个恶意软件,只有企业为整个系统部署了PCI数据安全标准控制,才可能阻止这些类型的恶意软件。