POS終端惡意軟件（例如最新的POSeidon惡意軟件）正不斷演變以避免被檢測(cè)，企業(yè)應(yīng)該如何應(yīng)付呢？

針對(duì)POS終端的惡意軟件仍然是犯罪團(tuán)伙積極發(fā)展的領(lǐng)域，這些地下組織依靠獲取泄露的信用卡數(shù)據(jù)來(lái)賺錢(qián)，并且似乎從來(lái)不會(huì)感到滿(mǎn)足。然而，隨著數(shù)據(jù)泄露事故被檢測(cè)以及問(wèn)題被解決，信用卡公司和銀行已經(jīng)迅速分發(fā)新卡給已泄露卡信息的消費(fèi)者，這對(duì)于消費(fèi)者來(lái)說(shuō)是好事，對(duì)攻擊者是壞事。

為了跟上銀行更換受影響信用卡的速度以及免受企業(yè)惡意防御技術(shù)的檢測(cè)，POS終端（POS）惡意軟件編寫(xiě)者需要保持其惡意軟件的更新，這包括采用新戰(zhàn)略來(lái)攻擊系統(tǒng)，以及采取措施來(lái)避免被檢測(cè)。

這種貓捉老鼠的游戲還會(huì)繼續(xù)下去，除非在處理支付方面出現(xiàn)根本性的改變。在本文中，讓我們探討一下最新的PoSeidon銷(xiāo)售終端惡意軟件的工作原理以及安全團(tuán)隊(duì)?wèi)?yīng)該如何應(yīng)對(duì)它。

PoSeidon POS終端惡意軟件

PoSeidon惡意軟件是針對(duì)POS系統(tǒng)的新惡意軟件，它使用RAM scraping來(lái)獲取信用卡號(hào)碼，正如Zeus和BlackPoS那樣，不同的是，PoSeidon還包含一個(gè)鍵盤(pán)記錄器來(lái)獲取密碼，以及其他高級(jí)功能。

當(dāng)這個(gè)多階段攻擊感染本地系統(tǒng)時(shí)，它會(huì)從硬編碼的命令和控制服務(wù)器下載可執(zhí)行文件用于保持攻擊持久性和編碼目標(biāo)數(shù)據(jù)（信用卡號(hào)碼和密碼），以發(fā)送到滲出服務(wù)器。在該惡意軟件執(zhí)行后，它會(huì)將自己設(shè)置為服務(wù)來(lái)自動(dòng)啟動(dòng)，以在系統(tǒng)重新啟動(dòng)時(shí)生存，它還會(huì)刪除文件以降低被發(fā)現(xiàn)的機(jī)率。

思科Talos研究人員指出，這個(gè)攻擊中很多硬編碼的IP地址和域名都是使用俄語(yǔ)。雖然使用俄羅斯域名、IP注冊(cè)到俄羅斯ISP或者IP地理定位在俄羅斯并不一定意味著該攻擊是由俄羅斯、東歐或中國(guó)的犯罪團(tuán)伙發(fā)起，但對(duì)該攻擊這些指標(biāo)的檢測(cè)可以幫助企業(yè)識(shí)別這些活動(dòng)以進(jìn)行進(jìn)一步調(diào)查。

目前初次感染矢量尚未明確地確定，但Talos研究人員認(rèn)為可能是該惡意軟件中使用的鍵盤(pán)記錄器。但如果沒(méi)有發(fā)現(xiàn)該惡意軟件如何進(jìn)入POS系統(tǒng)，我們就很難識(shí)別哪些安全控制失效。另外，該惡意軟件中并沒(méi)有發(fā)現(xiàn)漏洞或漏洞利用，所以感染媒介可能很簡(jiǎn)單而有效，例如使用USB驅(qū)動(dòng)器插入到POS終端以自動(dòng)運(yùn)行該惡意軟件。

企業(yè)如何抵御PoSeidon惡意軟件

根據(jù)PCI數(shù)據(jù)安全標(biāo)準(zhǔn)的要求，大多數(shù)抵御PoSeidon惡意軟件的安全控制應(yīng)該已經(jīng)部署在POS環(huán)境中。例如，第一個(gè)要求為安裝和維護(hù)防火墻設(shè)置來(lái)保護(hù)持卡人數(shù)據(jù)，具體要求為1.1.4，企業(yè)須在每個(gè)互聯(lián)網(wǎng)連接以及任何隔離區(qū)和內(nèi)部網(wǎng)絡(luò)區(qū)之間部署防火墻，這應(yīng)該可以阻止對(duì)未經(jīng)批準(zhǔn)外部鏈接的訪問(wèn)以及阻止惡意軟件下載可執(zhí)行文件。此外，PCI DSS 10.6要求為所有系統(tǒng)組件審查日志和安全事件以發(fā)現(xiàn)異?；蚩梢苫顒?dòng)，而這應(yīng)該可以檢測(cè)可疑網(wǎng)絡(luò)連接，并展開(kāi)調(diào)查來(lái)檢測(cè)惡意軟件以及可能限制受影響數(shù)據(jù)量。

此外，用于緩解RAM-scraping惡意軟件的安全建議也同樣適用：反惡意軟件技術(shù)可以幫助阻止惡意訪問(wèn)，特別是監(jiān)控對(duì)內(nèi)存訪問(wèn)的反惡意軟件技術(shù)。同時(shí)，白名單工具可以阻止惡意軟件在端點(diǎn)執(zhí)行，以及限制入站和出站網(wǎng)絡(luò)訪問(wèn)可以阻止PoSeidon惡意軟件。

如果在感染PoSeidon的企業(yè)部署了嚴(yán)格的IP網(wǎng)絡(luò)控制，該惡意軟件編寫(xiě)者會(huì)更加難以滲出收集、下載額外惡意軟件組件以及連接到命令控制基礎(chǔ)設(shè)施。因?yàn)檫@樣的話，攻擊者需要確定如何在每個(gè)網(wǎng)絡(luò)滲出數(shù)據(jù)；這可能會(huì)導(dǎo)致攻擊者出現(xiàn)更多錯(cuò)誤，而被檢測(cè)到。為了識(shí)別潛在受感染的終端以進(jìn)一步調(diào)查，企業(yè)還可以監(jiān)控DNS流量。Talos公布了幾個(gè)感染指標(biāo)來(lái)檢測(cè)該惡意軟件，企業(yè)可將這些指標(biāo)涵蓋在網(wǎng)絡(luò)或端點(diǎn)安全工具中。最重要的攻擊指標(biāo)應(yīng)該是檢測(cè)從POS系統(tǒng)到以下網(wǎng)址的出站連接，這些指標(biāo)不太會(huì)導(dǎo)致誤報(bào)：

• wondertechmy[.]com/pes/viewtopic.php

• wondertechmy[.]ru/pes/viewtopic.php

• wondwondnew[.]ru/pes/viewtopic.php

任何發(fā)送數(shù)據(jù)到上述網(wǎng)址的POS系統(tǒng)都必須作為安全事件進(jìn)行調(diào)查。

對(duì)于很多企業(yè)來(lái)說(shuō)，應(yīng)該已經(jīng)部署了適當(dāng)?shù)陌踩刂苼?lái)支持PCI合規(guī)性。中小型企業(yè)可能依靠服務(wù)提供商來(lái)提供POS系統(tǒng)，并認(rèn)為服務(wù)提供商負(fù)責(zé)維護(hù)POS安全，但這只是一個(gè)假設(shè)；中小企業(yè)應(yīng)該確保在其服務(wù)合同中正式列出了服務(wù)提供商的保護(hù)責(zé)任信息。

PCI合規(guī)的各種要求可能為早就繞過(guò)EMV標(biāo)準(zhǔn)的攻擊者提供更多目標(biāo)。而PoSeidon惡意軟件只是POS系統(tǒng)攻擊中使用的眾多惡意軟件中的又一個(gè)惡意軟件，只有企業(yè)為整個(gè)系統(tǒng)部署了PCI數(shù)據(jù)安全標(biāo)準(zhǔn)控制，才可能阻止這些類(lèi)型的惡意軟件。