2013年圣诞零售旺季,美国零售业巨头Target和Neiman Marcus的POS系统分别遭受了黑客攻击,1.1亿用户的银行卡信息被盗走,造成美国历史上最严重的信息泄露事故,三分之一的美国人受到波及。
在安全牛之前的报道中,我们了解到Target数据泄漏事件中攻击者利用恶意软件感染门店的POS系统从而捕获用户的借记卡和信用卡的消费信息。那么,攻击者采用的是什么恶意软件?如何攻击?POS恶意软件的现状如何?零售业如何防范?
根据Target的报告,大约有7000万用户的信息被黑客盗走,其中包括卡号,用户姓名,通信地址,电话号码,电子邮件等信息。根据Target的调查,一种针对POS系统的恶意软件入侵的Target门店的POS系统,在用户刷卡后,在数据被加密传输之前盗走了数据。而该恶意软件是恶意软件BlackPOS的一个变种。下面我们就来了解一下针对POS的恶意软件。
Dexter
早在2012年,以色列的安全公司Seculert就发现了网络犯罪集团在利用一个名叫Dexter的恶意软件,可以从内存中把POS软件的数据转储出来,从中搜索到Track1和Track2的信用卡数据。Dexter感染了40多个国家的包括银行,餐馆,大型零售店在内的POS系统,特别是在美国和英国的POS系统。其中在2012年, Dexter就从赛百味的POS系统中盗取了约8万个信用卡用户信息。
今天, Dexter POS恶意软件依然在俄罗斯,中东,东南亚等国家相当活跃。而它只是利用内存转储方式攻击POS系统的一类恶意软件中的一个变种。 2013年,俄罗斯的安全公司Group-IB发现了一个新的POS恶意软件名为“DUMP MEMORY”, 而在此之前的几个月,人们还发现了其他类似的POS恶意软件如”vSkymmer“和”Project Hook”。而美国的安全公司IntelCrawler则发现了一个由被入侵的商家POS机组成的一个庞大的僵尸网络。
犯罪集团所采用的恶意软件可以入侵那些安装了POS软件的商家计算机,从而截获每笔付款的信息。这种恶意软件被用来取代以前采用的如ATM Skimmer(在ATM上安装摄像头)等物理方式来进行数据窃取。
POS系统一直以来都是犯罪份子的主要目标。而不幸的是,绝大多数的POS系统并没有采用单独的POS服务器,而且安全防护很糟糕。
即便在Dexter恶意软件发现1年多以后,在2013年, Arbor Networks 的安全研究人员还在两台服务器上发现了这种基于Windows的恶意软件。他们发现,在他们的监控期间,这个恶意软件从两台服务器上分别向原来的控制服务器发回了533 个信息。 而这一控制服务器其实已经不在线了。
安全专家们发现了至少3个Dexter的变种:Stardust(其实就是原来的Dexter), Millenium , 以及Revelation(这是一个最新的变种,可以通过FTP上传数据)
目前还不清楚犯罪分子究竟是如何发起攻击的。一个可能就是他们先用定向钓鱼的手法引诱目标用户访问恶意网站然后使得Dexter感染用户机器。 还有一种可能就是攻击者攻破了商家的内网,从而植入了Dexter。
根据Arbor Networks的安全分析报告“攻击者设定了专门的服务器用来接收数据,我们看到信用卡数据被传送到服务器上,攻击者会定期清理服务器日志,因此,我们无法确定这样的攻击已经持续了多久”
通过POS恶意软件转储来的信用卡信息被转手在网络黑市上出售,购买者就可以用这些信息来复制信用卡,然后这样的信用卡又会反过头来用在那些目标POS系统中。
Arbor Networks在研究中还发现,很多运行POS软件的计算机还跑着其他应用。这样使得攻击者对POS系统的攻击变得容易。“POS系统应该运行在专门的服务器上,而不应该与其他应用放在同一机器上” Arbor Network的报告指出。
VSkimmer
2013年3月, McAfee的安全研究人员在跟踪俄罗斯网络地下黑市时发现了一种名为vSkimmer的信用卡信息盗窃恶意软件在黑市上出售。这个恶意软件基于Windows,可以通过连接信用卡读卡器的计算机系统收集持卡用户的信息并通过加密方式回传给控制服务器。
VSkimmer从POS机收集如下信息
注册表中的机器GUID
本地信息
用户名
主机名
操作系统版本
安全专家们研究发现,VSkimmer是Dexter的下一代产品。
VSkimmer采用了一些措施防止被安全软件发现。比如, 它可以一直静默, 等待一个特定名称的USB设备插入机器。 然后在一次性把收集的数据传到这个USD盘上去。
McAfee的报告中提到, vSkimmer有一个进程名的白名单, 当它扫描进程时, 它会跳过这些白名单上的进程, 而当vSkimmer发现不在白名单上的进程, 它就是启动OpenProcess和ReadProcessMemory来读取该进程的存储页。 然后通过与正则表达式“?[3-9]{1}[0-9]{12,19}[D=\u0061][0-9]{10,30}\??”)”进行匹配来从POS设备中读取银行卡信息。这样遍历受感染的机器上所有的非白名单上的进程。”
这类恶意软件是第一个直接针对基于Windows的信用卡付款终端的恶意软件。在网络黑市上,这类恶意软件的买卖正在日益增多。而恶意软件的作者还正在积极开发下一代的POS恶意软件。
ChewBacca
最近, RSA的研究人员发现了一个基于Tor网络的新的POS恶意软件ChewBacca的变种。ChewBacca最初是由卡巴斯基实验室的研究人员发现的针对金融行业的恶意软件。而RSA发现的这个变种则添加了攻击POS系统的功能。这个变种由于使用了Tor网络,是的攻击者能够更好地隐藏他的控制服务器系统。
根据RSA,这个变种从2013年10月以来,已经感染了至少11个国家的POS系统,包括美国,俄罗斯,加拿大和澳大利亚。这个ChewBacca的变种采用了两种不同的数据盗窃机制,一种是按键记录的方式,通过记录用户按键方式来盗窃数据,还有一种是内存转储的方式,它通过转储进程的存储页,利用一个简单的正则表达式匹配来发现信用卡号。一旦发现信用卡号,就把相关信息传回控制服务器。
ChewBacca的代码用Free Pascal 2.7.1编译,在Windows系统下一旦启动,就会在启动目录下生成一个spoolsv.exe, 同时去下载一个Tor.exe,然后启动Tor。
建议
针对POS的攻击是网络犯罪集团日益感兴趣的攻击手段,需要引起银行和零售业企业的高度重视。这里提几个建议:
1) 采用专门的服务器运行POS软件,不要把POS软件和其他应用放在同一机器上
2) 在POS软件从读卡器中读取信息时就进行加密,不要在软件中以明文方式操作信息
3) 升级防病毒,防火墙和入侵检测设备。确保这些安全设备能够发现POS恶意软件
4) 提高员工安全意识。避免被定向钓鱼。
