資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長

在零售業一起可能是有史以來規模最大的資料外洩事件當中,導因於歹徒成功入侵了數十年如一日的老舊銷售櫃台 (POS) 系統網路。

2013 年將在資訊安全產業留下永遠的烙印,因為該年美國發生了有史以來最大的一宗資料外洩事件。美國大型連鎖超市Target 在耶誕購物季節遭到一項使用 BlackPOS 惡意程式 (一種銷售櫃台系統記憶體擷取程式) 的鎖定APT攻擊/目標攻擊,導致嚴重的資料外洩。據估計,網路犯罪集團偷走了大約 4000 萬筆信用卡與現金卡 (debit card) 卡號以及 7000 萬筆 Target 消費者的個人資料。請參考:關於美國零售業業者 Target 資料外洩常見問題集

資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長

自從 Target 資料外洩事件曝光以來,一連串的商家及零售商店便陸續跳出來承認自己發生資料外洩。在這些外洩事件當中,歹徒多使用銷售櫃台系統記憶體擷取程式 (PoS RAM scraper)。本月稍早,獨立記者 Brian Krebs 也揭露了另一家美國零售業龍頭 Home Depot 所發生的大型資料外洩事件,歹徒採用了 BlackPOS銷售櫃台系統記憶體擷取程式。幾乎美國境內所有 Home Depot 店面應該都受到影響,而且其失竊的資料量也應該超越了 Target 外洩事件的規模。

2014 年,除了資料外洩事件數量增加之外,銷售櫃台系統記憶體擷取程式家族的數量也有所成長。下圖顯示銷售櫃台系統記憶體擷取程式家族的發展與演進:

資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長

圖 1:銷售櫃台系統記憶體擷取程式 (PoS RAM scraper) 家族發展與演進

銷售櫃台系統記憶體擷取程式出現的最早記錄是信用卡發卡機構 Visa 於 2008 年 10 月 2 日發布的資料安全警示 (Data Security Alert)。當時,網路犯罪集團曾試圖在銷售櫃台系統上安裝除錯工具來從記憶體內擷取信用卡磁條第一軌和第二軌的資料。2009 年,美國電信業者 Verizon 也在一份資料外洩調查報告當中提到了銷售櫃台系統記憶體擷取程式,並指出受害者主要分布在零售和住宿產業。銷售櫃台系統記憶體擷取程式家族真正開始演進的時間是在 2011 年底左右。如同上圖所示,銷售櫃台系統記憶體擷取程式隨著資料竊取及外洩技巧的推陳出新而不斷演進。不過在這張圖當中,特別值得注意的是光 2014 年就有大量的新變種出現。這類惡意程式從 2011 至 2013 年總共才出現六個變種,但光 2014 年就出現了相同數量的全新變種。如同上圖的箭頭所示,有些變種繼承了前一代的功能,有些則是直接從早期的變種演化而來。

在 2014 年發現的六個新變種當中,有四個發現在六月至八月之間。

  • Soraya – 發現於今年六月,融合了 Dexter 和 ZeuS 惡意程式的能力。除了能夠擷取信用卡磁條第一和第二軌的資料之外,也借用了 ZeuS 的技巧,能夠利用 NtResumeThread API 來將自己注入到所有新產生的處理程序 (process) 當中。此外,它也學會了 ZeuS 擷取表單以及攔截瀏覽器 HTTP POST 函式的能力。趨勢科技將偵測到的 Soraya 變種稱為 TSPY_SORAYA.A。
  • BrutPOS – 發現於今年七月,似乎繼承了 BlackPOS 變種的功能。它會試圖攻擊密碼強度不足或使用預設密碼且已開放遠端桌面連線 (RDP) 連接埠的銷售櫃台系統。BrutPOS 會以暴力破解手法試圖猜出使用者名稱和密碼的組合來入侵系統。趨勢科技所偵測到的 BrutPOS 變種有 BTROJ_TIBRUN.SM
  • Backoff – 發現於今年七月,是 Alina 的後繼變種。它內建了一項新的資料搜尋功能,並會在系統植入一個看門程式來確保 Backoff 隨時都在系統上執行。網路犯罪集團會利用可公開取得的工具來試圖以暴力破解方式登入銷售櫃台系統的遠端桌面連線 (RDP),進而安裝 Backoff 程式。趨勢科技所偵測到的 Backoff 變種包括:ATSPY_POSLOGR.BTSPY_POSLOGR.C
  • BlackPOS ver 2.0 – 發現於今年八月,承襲了 BlackPOS 攻擊 Target 連鎖超市的資料竊取手法。此外,BlackPOS ver 2.0 還新增一項獨特功能,它會偽裝成防毒軟體來避免引起注意力。有報導指出,美國 Home Depot 連鎖賣場所發生的大型資料外洩事件,歹徒就是使用這個惡意程式。趨勢科技將所偵測到的 BlackPOS ver 2.0 變種稱為 A

註:一個惡意程式變種在被發現之前,很可能早就存在已久,因為要追溯其確切誕生日期是非常困難的。

我們的研究報告銷售櫃台系統記憶體擷取程式:過去、現在和未來 (PoS RAM scraper malware: Past, Present, and Future) 針對這類惡意程式做了一番徹底研究,內容包括:

  • 深入探討銷售櫃台系統 (PoS) 的生態體系,並且描述 PoS 交易從客戶刷卡的一刻開始到卡片扣款為止的整個處理程序。
  • 說明支付卡片磁條上含有哪些類型的資料。
  • 檢視銷售櫃台系統記憶體擷取程式的發展歷史,看看它們如何從最初的簡單程式發展成今日的產業威脅。
  • 探討各種銷售櫃台系統記憶體擷取程式的感染手法,從技術的觀點針對今日企業最常遭遇的銷售櫃台系統記憶體擷取程式家族提供深入淺出的分析。
  • 詳述銷售櫃台系統記憶體擷取程式所使用的資料竊取技巧,並看看網路犯罪集團如何運用這些資料。
  • 預測新一代銷售櫃台系統記憶體擷取程式將如何發展,以及未來的銷售櫃台系統攻擊管道。

最後,該文也提出一些預防策略來協助企業防範自己遭到銷售櫃台系統記憶體擷取程式的攻擊。

◎原文出處:2014 – An Explosion of Data Breaches and PoS RAM Scrapers)

http://blog.trendmicro.com/trendlabs-security-intelligence/2014-an-explosion-of-data-breaches-and-pos-ram-scrapers/

作者:Numaan Huq (資深威脅研究員)