在12月發(fā)布2014年安全預測時，我們曾提到“意在竊取金錢或知識產權的有針對性的惡意軟件活動”將成為企業(yè)面臨的3大威脅之一。然而，我們并沒料到這個預測能以如此高調的形式在如此短的時間內就成為現實。據統(tǒng)計，這種攻擊行為導致美國領先的零售商Target和Neiman Marcus多達110萬人的信用卡或個人資料被盜。“內存抓取”已經成為世界上最大的數據泄露手段之一。

　　調查顯示，連鎖零售網點（POS）已經遭受到“內存抓取”工具的感染，通過該工具，攻擊者能夠截取和竊取信用卡數據和其他賬戶信息。內存抓取本不是一項新技術（它于2008年首次由普林斯頓大學信息技術政策中心提出），但卻被頻繁地用于最新的攻擊，這引發(fā)了人們關于信用卡交易安全性以及支付卡行業(yè)數據安全標準（PCI-DSS）的質疑。這些功能本應該是保護POS系統(tǒng)和用戶信用卡數據在傳輸過程中的安全。

　　雖然支付卡行業(yè)數據安全標準（PCI-DSS）提供了強大的安全保障（從最初的交易到客戶數據存儲到零售商系統(tǒng)中），卻并非無懈可擊。在交易過程中的非常短暫的時間內，客戶的信用卡數據（包括持卡人姓名、卡號、有效期、三位數安全碼）是以純文格式呈現的。這是因為支付處理系統(tǒng)只能處理未加密的數據，這便給了內存抓取工具可乘之機。

　　見縫抓取

　　當支付卡數據被POS終端讀取時，會暫時性地儲存在隨機存儲器（RAM）內，同時支付卡被授權并進行交易，然后再進行數據加密。同樣地，后端服務器開始處理客戶交易時，數據也要在存儲器中暫時被解密。這些數據只有幾微秒的時間可見，但對于內存抓取軟件來說足夠了。無論交易何時進行，只要有新數據加載到隨機存儲器（RAM）內，內存抓取軟件都可迅速激活，搜索出信用卡數據。之后，這些數據被悄悄地拷貝到一個文本文件內，當一定量的記錄被“抓取”后，再轉發(fā)給攻擊者。對于犯罪分子而言，這大大地節(jié)省了其解密客戶詳細信息所需的時間與精力。

　　現在還不清楚具體哪些惡意軟件的變體被用于最近的攻擊中，也不清除它們是如何被植入的。然而在2014年1月初，美國計算機應急準備小組（US-CERT）針對POS系統(tǒng)發(fā)布了一個關于內存抓取惡意軟件的警報，其中提到了多款近期活躍的惡意軟件，這些惡意軟件可搜索出特定POS軟件相關進程的內存轉儲文件，從而盜取支付卡數據。

　　感染載體

　　那么犯罪分子是如何將內存抓取軟件植入到這些主要零售商的POS系統(tǒng)中的呢？當零售商的POS設備和系統(tǒng)聯(lián)網時，原始感染源可能已經通過以下傳統(tǒng)方法植入到零售商的網絡中：公司員工在公司網絡中訪問電子郵件中的惡意鏈接或附件，或攻擊者利用遠程訪問軟件中的薄弱認證證書。

　　一旦企業(yè)網絡遭到破壞，攻擊者就可能將惡意軟件轉移到POS網絡和終端設備上。由于POS網絡沒有與其他業(yè)務網絡進行隔離，因此其他業(yè)務網絡也很容易受到破壞。

　　POS保護措施

　　為了防范未來內存抓取軟件或其他針對POS系統(tǒng)的攻擊，美國計算機應急準備小組（US-CERT）建議系統(tǒng)所有者和經營者采取以下6項最佳措施：

　　·為POS系統(tǒng)設定更復雜的密碼，并經常更改出廠默認設置

　　·更新POS軟件應用，并以同樣的方式更新并修補其他業(yè)務軟件，以減少暴露出 來的漏洞

　　·安裝防火墻以保護POS系統(tǒng)，并將其與其他網絡隔離

　　·使用殺毒軟件，并時刻保持殺毒軟件的更新

　　·限制從POS系統(tǒng)計算機或終端訪問互聯(lián)網，防止意外接觸到安全威脅

　　·禁止遠程訪問POS系統(tǒng)

　　企業(yè)還應該考慮其他對策以增強保護級別，從而防止惡意軟件的感染，而這些感染源正是最常見的攻擊發(fā)起點。對于犯罪分子來說，只要稍微對惡意軟件代碼進行調整，便可繞過防病毒特征檢測，從而對企業(yè)網絡造成破壞。Check Point ThreatCloud Emulation可在惡意文檔進入網絡前對其進行識別并隔離，從而杜絕意外感染的發(fā)生。

　　Check Point威脅仿真可以審查下載的文件和常見的電子郵件附件，如Adobe PDF文件和Microsoft Office文件，從而預防威脅。可疑文件在威脅仿真軟件的沙盒中打開，并同時受到監(jiān)控，是否出現異常的系統(tǒng)行為，包括異常的系統(tǒng)注冊表變更、網絡連接或系統(tǒng)進程 - 提供文件行為的實時評估。如果發(fā)現是惡意文件，則將其阻塞在網關內聯(lián)。如果發(fā)現新簽名，會立即發(fā)送給Check Point ThreatCloud，并分發(fā)給Check Point的網關，以自動阻止新的惡意軟件。

　　總而言之，內存抓取不僅對零售業(yè)構成威脅，還對從休閑和餐飲再到金融和保險業(yè)務領域等任何涉及到大量用戶支付卡處理的業(yè)務構成威脅。因此，經常使用POS設備的組織應該仔細檢查其網絡是否正在遭受內存抓取軟件的威脅。