我最喜歡的電影之一是80年代由Steve Martin主演的喜劇 – 「飛機、火車與汽車」。這篇文章跟那部電影無關,不過的確借用了它的標題。
PoS惡意軟體,目前的主流
我們都應該記得,大約在去年的這個時候,美國零售商Target發生了有史以來最大的資料外洩事件,一起使用BlackPOS惡意軟體的針對性攻擊。自從那時開始,銷售終端或稱PoS惡意軟體開始成為主流,攻擊了大大小小的店家。2014也是我們看到PoS惡意軟體變為成熟威脅的一年。新PoS威脅出現在今年的假日購物季節,我們甚至想辦法去了解一下PoS詐騙者的工具箱。
PoS惡意軟體大多數侷限於零售業者和商家,但現在看來,PoS惡意軟體已經從購物中心分支到機場、地鐵站和停車場。
飛機
來自資安公司Census的研究人員在八月的DEFCON2014提出一篇關於PoS攻擊將目標放在旅客的有趣報告。Census延伸了PoS在機場內的定義去包含了自助報到機、無線上網服務機、行李定位服務機等。他們在希臘機場內進行調查。目標放在位於航站公共空間內的自助服務機。這個自助服務機可以讓乘客購買無線上網點數,打VoIP電話以及掃描機票以確認航班時間。他們發現該自助服務機有網路連線,外露USB孔、缺乏鍵盤輸入過濾功能、沒有安裝防毒軟體並具備管理者權限。
研究人員客製化了惡意軟體,並用一個簡單的網頁攻擊來感染自助服務機。航空公司在機票上使用登機證條碼化(BCBP),包含了乘客資訊;BCBP規格可以輕易地在Google上搜尋到。被掃描的BCBP資料 – 不管是印出的機票或是手機上的QR碼 – 都可以在自助服務機的記憶體中解出。知道BCBP格式讓研究人員可以從自助服務機的記憶體擷取資料,只要使用跟竊取支付卡資料的PoS記憶體擷取程式一樣的技術即可。他們的實驗結果顯示,攻擊者可以輕易地利用支付卡竊取PoS惡意軟體來感染自助服務機。
火車
資安公司IntelCrawler最近在部落格發表一篇關於「d4re|dev1|」(daredevil)PoS惡意軟體的文章,它會針對大眾運輸系統(MTS)。這個惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤記錄功能。IntelCrawler秀出義大利薩丁島一個被入侵ARST自動售票機的照片。攻擊者透過VNC來存取自動售票機。客戶在這些自動售票機購買公車票和火車票,讓他們成為被竊取支付卡資料的賺錢目標。一個最近發現的PoS記憶體擷取程式家族 – NewPosThings會試圖從被入侵系統取得VNC密碼。其他像是BrutPOS和Backoff等PoS記憶體擷取程式會使用RDP來存取被入侵的系統。
汽車
最近一則新聞,一個專業停車場服務廠商在美國有17座停車場的支付處理系統被入侵。有一家協力廠商負責維護停車場支付卡系統。攻擊者使用協力廠商的遠端存取工具來存取支付處理系統。攻擊者接著安裝惡意軟體,從這些停車場取得支付卡資料。協力廠商沒有使用雙因子認證來進行遠端存取,讓攻擊者可以輕易地進入和攻擊該系統。該公司受到感染的停車場位在芝加哥、克利夫蘭、埃文斯頓、費城和西雅圖 – 基本上是全國性的感染了。
新的目標
從這三個案例中,我們可以提出以下意見:
- 網路犯罪分子在PoS惡意軟體中加入遠端管理功能。因為遠端存取工具加上RDP/VNC功能讓他們可以進入自動付款或電子服務系統。
- 任何具備網路連線的處理支付卡資料設備都該被視為潛在目標,不管其位在何處。使用者永遠不該假設位在機場、火車站甚或是停車場的自助服務機都具備跟其他自助服務機相同或正確的安全等級。
- 在一個連接著的世界裡,安全性原則需要超越國界。安全責任在幾個關鍵角色上:設備製造商、服務供應商,甚至是銀行和信用卡業者 – 都必須去保護他們的消費者。
關於PoS惡意軟體更多的資訊和建議的解決方案,可以閱讀我們的報告 – 「PoS記憶體擷取惡意軟體:過去、現在和未來。」
@原文出處:Planes, Trains & Automobiles – Are You Safe From PoS Malware Anywhere? 作者:Numaan Huq(資深威脅研究員)