一、背景：2014年為零售商數(shù)據(jù)泄露之年

盡管網(wǎng)絡罪犯繼續(xù)把個人的支付卡和銀行信息作為攻擊目標，但是他們似乎逐漸意識到脆弱的零售商更有利可圖。把零售商作為攻擊目標并不是新鮮;阿爾伯特·岡薩雷近十年前就曾對零售商發(fā)起過攻擊。相比以前，唯一的變化是大量可用的工具和能夠讓幾乎一無所知的罪犯發(fā)起大規(guī)模攻擊的傻瓜式操作。事實說明了一切-最近幾年涉及零售商的重大數(shù)據(jù)泄露事件一直在持續(xù)增長，而且形勢愈演愈烈。實際上，Verizon數(shù)據(jù)泄露調(diào)查報告稱2014年為零售商數(shù)據(jù)泄露之年，鑒于零售商遭受到的大規(guī)模攻擊的數(shù)量。

圖1.常見的支付卡數(shù)據(jù)泄露途徑

科普

磁條卡的磁條上有3個磁道。磁道1與磁道2是只讀磁道，在使用時磁道上記錄的信息只能讀出而不允許寫或修改。磁道3為讀寫磁道，在使用時可以讀出，也可以寫入。雖然第3磁道可讀寫，并且有金額字段，也只是用于小金額的應用領域，例如電話卡。

不僅零售商的數(shù)據(jù)泄露事件發(fā)生更為頻繁，同時火眼研究人員注意到另一個令人震驚的新趨勢：雖然攻擊活動剛開始并沒有針對性，但是當攻擊者認識到被攻陷網(wǎng)絡的價值，攻擊活動可以輕而易舉地演變?yōu)橐粋€目標式攻擊(targeted attack)。

大量容易獲得的POS惡意軟件和通用僵尸網(wǎng)絡之間的結(jié)合，加上目標式攻擊活動，暗示著網(wǎng)絡防護者將難以判斷威脅的嚴重性和對手的實力。

二、POS惡意軟件的進化史

自2013年來，我們發(fā)現(xiàn)來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規(guī)律-因為零售網(wǎng)絡中存留了大量的金融數(shù)據(jù)。攻擊者正在調(diào)整槍口，集結(jié)力量，向要害部位發(fā)起攻擊。

1.Backoff POS:攻擊在2014年7月被公開披露，但活躍在2013年10月。報道稱攻擊者據(jù)攻占遠程桌面服務器，并安裝Backoff惡意軟件。Backoff利用內(nèi)存搜讀(memory scraping)技術從內(nèi)存中提取支付卡的數(shù)據(jù)，通過HTTP偷偷地發(fā)送數(shù)據(jù)。Backoff的C&C控制器連接到曾運行Zeus、SpyEye和Citadel僵尸網(wǎng)絡的服務器，暗示著Backoff涉及到一個更大范圍的攻擊活動。

2.BrutPOS:在2014年7月被公開報道。BrutPOS僵尸網(wǎng)絡掃描特定IP地址段中的遠程桌面服務器，如果發(fā)現(xiàn)了POS系統(tǒng)，攻擊者可能部署另一個變種，掃描正在運行程序的內(nèi)存來提取支付卡信息。BrutPOS通過FTP傳送數(shù)據(jù)。

3.Soraya：發(fā)現(xiàn)于2014年6月。它遍歷正在運行的進程，訪問內(nèi)存來提取支付卡數(shù)據(jù)。而且Soraya具備表單截取(Form Scraping)功能，通過HTTP傳送數(shù)據(jù)。

4.Nemanja：Nemanja的細節(jié)是在2014年5月被披露的，而該僵尸網(wǎng)絡卻被認為活躍在整個2013年。攻擊者在世界范圍內(nèi)攻破大量運行多種POS軟件的機器。據(jù)稱攻擊者直接參與了假支付卡的生產(chǎn)和通過移動解決方案進行洗錢的活動。

5.JackPOS：在2014年2月被報道，據(jù)報導JackPOS最初通過路過式(drive-by)下載攻擊進行傳播。該惡意軟件似乎和Alina惡意軟件有點關系，能夠利用內(nèi)存搜讀(memory scraping)技術從內(nèi)存提取支付卡數(shù)據(jù)，并通過HTTP發(fā)送數(shù)據(jù)。JackPOS在地下論壇中廣泛流傳并被各種各樣的攻擊者所使用。

關于路過式(drive-by)下載攻擊，請查看網(wǎng)絡罪犯：互聯(lián)網(wǎng)叢林中的捕獵者

6.Decebal：初次被報道是在2014年1月。該惡意軟件枚舉正在運行的進程，提取支付卡信息，然后通過HTTP傳送數(shù)據(jù)。

7.ChewBacca:首此被公布是在2013年11月。該惡意軟件枚舉正在運行的進程，并通過兩個正則表達式從內(nèi)存重提取支付卡信息。ChewBacca通過Tor匿名網(wǎng)絡傳送數(shù)據(jù)。

8.BlackPOS:被一個名為“ree4”的個體在地下論壇中販賣，首次公開報道是在2013年3月。BlackPOS有一個名為KAPTOXA的變種，可以利用內(nèi)存搜讀(memory scraping)技術從內(nèi)存中抓取支付卡數(shù)據(jù)。數(shù)據(jù)通常先轉(zhuǎn)移到一個本地中轉(zhuǎn)站，然后再通過FTP發(fā)送。BlackPOS因幾起廣為人知的數(shù)據(jù)泄露事件而為大家所熟知。

9.Alina:首先披露是在2013年2月，被認為和Dexter POS 惡意軟件源自同一作者“dice”。Alina通過Citadel僵尸網(wǎng)絡進行傳播。Alina遍歷正在運行的進程(除了黑名單中的進程)，轉(zhuǎn)儲內(nèi)存，查找支付卡數(shù)據(jù)，然后通過HTTP發(fā)送。盡管Alina剛開始被少數(shù)幾個人使用，隨后被掛在地下論壇上出售。

10.vSkimmer：首次公布是在2013年1月。該惡意軟件遍歷正在運行的進程，訪問內(nèi)存提取支付卡信息，然后通過HTTP傳送。

11.Dexter：首次披露是在2012年12月，被認為是由一個名為“dice”的開發(fā)者開發(fā)出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關。該惡意軟件遍歷正在運行的進程，訪問內(nèi)存來搜索支付卡數(shù)據(jù)，然后通過HTTP傳送數(shù)據(jù)。

這些惡意軟件大都使用類似的方法來遍歷正在運行的進程，再通過模式匹配來從進程的內(nèi)存中提取支付卡信息。然而，在不止一個案例中，如一個BlackPOS變種被配置成只訪問一個特定的進程。這樣不僅能夠減少提取到錯誤數(shù)據(jù)的情況，同時也表明攻擊者已提前獲知了被攻陷系統(tǒng)中的目標進程。同時該變種包含了一些硬編碼的網(wǎng)絡路徑和用戶名，可能暗示攻擊者針對的是特定目標。

三、無目的攻擊VS目標式攻擊

雖然一些惡意軟件似乎是專門提供給一些特定的攻擊者使用，然而一些變種卻被廣泛的使用。在許多案例中， POS專用的惡意軟件被用于“第二階段”的進攻，然而初始的攻擊途徑(attack vector)尚不清楚。在Aline和BackOff的案例中，POS惡意軟件與Citadel、Zeus以及SpyEye僵尸網(wǎng)絡有關聯(lián)。盡管我們?nèi)匀徊磺宄毠?jié)，攻擊者(僵尸網(wǎng)絡控制者)可能兜售或交易訪問特定目標的訪問權(quán)限。

圖2.盜取支付卡數(shù)據(jù)的新趨勢

在其他的案例中，攻擊者似乎十分明確他們的攻擊目標。對目標發(fā)起攻擊之前，一個特定的威脅組織會對目標踩點幾個月。我們也觀察到該組織使用SQL注入作為攻擊途徑(attack vector)，滲透到目標網(wǎng)絡之后部署POS專用的惡意軟件。

四、結(jié)論

涉及到網(wǎng)絡防護時，這些惡意軟件對風險的傳統(tǒng)概念發(fā)起了挑戰(zhàn)。雖然目標式攻擊(包括與APT活動有關的目標式攻擊)經(jīng)過一段時間后能夠被追蹤和歸類(清楚攻擊者所使用的攻擊工具、步驟，還有時機、范圍以及目標的偏好)，但是難以對事件處理劃分優(yōu)先級別，因為這些事件剛開始可能是盲目的攻擊，直到后來才演變?yōu)槟繕耸焦?targeted attack)活動。

無目的Zeus感染是否是一個值得關注的事件?或是否它將多半被忽略?不料卻演化成了一個重大的數(shù)據(jù)泄露事件。