Video: RAM Scraping and Point of Sale Malware (Oktober 2024)
Mens Target fortsatt holder mamma på hvordan angripere klarte å bryte nettverket og samle informasjon som tilhørte mer enn 70 millioner kunder, vet vi nå at RAM-skraping av skadelig programvare ble brukt i angrepet.
"Vi vet ikke hele omfanget av det som skjedde, men det vi vet er at det var skadelig programvare installert i salgsargumentene våre. Så mye vi har etablert, " sa Target CEO Gregg Steinhafel i et intervju med CNBC diskuterte det siste bruddet. Selskapet sa opprinnelig betalingskortinformasjon for 40 millioner mennesker som handlet på et av utsalgsstedene i løpet av høytiden var kompromittert. Target sa forrige uke at personlig informasjon til 70 millioner mennesker også ble stjålet, og at enhver kunde som kom til butikkene i hele 2013 var i faresonen.
Ukjente kilder fortalte Reuters i helgen at skadelig programvare som ble brukt i angrepet var en RAM-skrape. En RAM-skraper er en spesifikk type skadelig programvare som målretter informasjon som er lagret i minnet, i motsetning til informasjon som er lagret på harddisken eller som overføres over nettverket. Selv om denne klassen for skadelig programvare ikke er ny, sier sikkerhetseksperter at det har vært en ny økning i antall angrep mot detaljister som bruker denne teknikken.
Angrepende minne
RAM-skrapere ser i datamaskinens minne for å hente sensitive data mens de behandles. I henhold til gjeldende betalingskort Industry-Data Security Standard (PCI-DSS) regler, må all betalingsinformasjon krypteres når den er lagret i PoS-systemet, så vel som når den overføres til back-end-systemer. Mens angripere fremdeles kan stjele dataene fra harddisken, kan de ikke gjøre noe med det hvis det er kryptert, og det faktum at dataene er kryptert mens de reiser over nettverket, betyr at angripere ikke kan snuse trafikken for å stjele noe.
Dette betyr at det bare er et lite mulighetsvindu - øyeblikkelig når PoS-programvaren behandler informasjonen - for angripere å ta tak i dataene. Programvaren må midlertidig dekryptere dataene for å se transaksjonsinformasjonen, og skadelig programvare benytter det øyeblikket for å kopiere informasjonen fra minnet.
Økningen i RAM-skrape skadelig programvare kan knyttes til det faktum at forhandlere blir bedre til å kryptere sensitive data. "Det er et våpenløp. Vi kaster en veisperring og angriperne tilpasser seg og ser etter andre måter å ta tak i dataene på, " sa Michael Sutton, visepresident for sikkerhetsforskning ved Zscaler.
Bare et annet skadelig programvare
Det er viktig å huske at salgssteder er hovedsakelig datamaskiner, om enn med eksterne enheter som kortlesere og tastaturer. De har et operativsystem og kjører programvare for å håndtere salgstransaksjoner. De er koblet til nettverket for å overføre transaksjonsdata til back-end-systemer.
Og akkurat som alle andre datamaskiner, kan PoS-systemer bli infisert med skadelig programvare. "Tradisjonelle regler gjelder fortsatt, " sa Chester Wisniewski, senior sikkerhetsrådgiver hos Sophos. PoS-systemet kan bli smittet fordi den ansatte brukte den datamaskinen til å gå til et nettsted som er vert for skadelig programvare, eller ved et uhell åpnet et ondsinnet vedlegg til en e-post. Den skadelige programvaren kan ha utnyttet programvare som ikke er sendt ut på datamaskinen, eller noen av de mange metodene som resulterer i at en datamaskin blir smittet.
"Jo mindre privilegium butikkarbeiderne har på salgsstedet terminalene, jo mindre sannsynlig vil de bli smittet, " sa Wisniewski. Maskiner som behandler betalinger er ekstra følsomme og skal ikke tillate websurfing eller installasjon av uautoriserte applikasjoner, sa han.
Når datamaskinen er smittet, søker skadelig programvare etter spesifikke data i minnet - i dette tilfellet kreditt- og debetkortnumre. Når den finner nummeret, lagrer den det i en tekstfil som inneholder listen over alle dataene den allerede har samlet inn. På et tidspunkt sender malware den filen - vanligvis over nettverket - til angriperens datamaskin.
Enhver er et mål
Selv om forhandlere for øyeblikket er et mål for minne-parsing av skadelig programvare, sa Wisniewski at enhver organisasjon som håndterer betalingskort vil være sårbar. Denne typen malware ble opprinnelig brukt i sektorene for gjestfrihet og utdanning, sa han. Sophos refererer til RAM-skrapere som Trackr Trojan, og andre leverandører kaller dem Alina, Dexter og Vskimmer.
RAM skrapere er faktisk ikke spesifikke for bare PoS-systemer. Cyber-kriminelle kan pakke inn skadelig programvare for å stjele data i enhver situasjon der informasjonen vanligvis er kryptert, sa Sutton.
Visa utstedte to sikkerhetsvarsler i april og august i fjor som advarte selgere om angrep ved bruk av minne-parsing PoS-skadelig programvare. "Siden januar 2013 har Visa hatt en økning i nettverksinntrengninger som involverer detaljhandlere, " sa Visa i august.
Det er ikke klart hvordan skadelig programvare kom inn på Targets nettverk, men det er tydelig at noe mislyktes. Malware er ikke installert på bare ett PoS-system, men på mange datamaskiner rundt om i landet, og "ingen la merke til det, " sa Sutton. Og selv om skadelig programvare var for nytt for at antivirus kunne oppdage det, burde det at den overførte data ut av nettverket, ha løftet røde flagg, la han til.
For den enkelte shopper er ikke egentlig å bruke kredittkort et alternativ. Dette er grunnen til at det er viktig å regelmessig overvåke utsagnene og spore alle transaksjoner på deres kontoer. "Du må stole på forhandlerne med dataene dine, men du kan også være på vakt, " sa Sutton.
