Video: DEF CON 23 - Weston Hecker - Goodbye Memory Scraping Malware (November 2024)
Hoewel Target nog steeds moeder houdt over hoe aanvallers erin slaagden zijn netwerk te doorbreken en informatie van meer dan 70 miljoen shoppers op te blazen, weten we nu dat RAM-schrapende malware werd gebruikt in de aanval.
"We weten niet volledig wat er is gebeurd, maar we weten wel dat er malware is geïnstalleerd in onze kassaregisters. Dat hebben we al vastgesteld, " zei doel-CEO Gregg Steinhafel in een interview met CNBC bespreekt de recente inbreuk. Het bedrijf zei aanvankelijk dat de betaalkaartinformatie voor 40 miljoen mensen die tijdens de feestdagen in een van de winkels hebben gewinkeld, is aangetast. Target zei vorige week dat persoonlijke informatie voor 70 miljoen mensen ook werd gestolen en dat elke klant die in 2013 naar de winkels kwam, gevaar liep.
Onafhankelijke bronnen vertelden Reuters dit weekend dat de malware die bij de aanval werd gebruikt, een RAM-schraper was. Een RAM-schraper is een specifiek type malware dat zich richt op informatie die in het geheugen is opgeslagen, in tegenstelling tot informatie die op de harde schijf is opgeslagen of via het netwerk wordt verzonden. Hoewel deze klasse van malware niet nieuw is, zeggen beveiligingsexperts dat het aantal aanvallen op retailers die deze techniek gebruiken recentelijk is toegenomen.
Aanvallend geheugen
RAM-schrapers kijken in het geheugen van de computer om gevoelige gegevens te verzamelen terwijl deze worden verwerkt. Volgens de huidige PCI-DSS-regels (Payment Card Industry-Data Security Standard) moet alle betalingsinformatie worden gecodeerd wanneer deze wordt opgeslagen op het PoS-systeem en wanneer deze wordt overgedragen naar back-endsystemen. Hoewel aanvallers nog steeds de gegevens van de harde schijf kunnen stelen, kunnen ze er niets mee doen als het is gecodeerd, en het feit dat de gegevens tijdens het reizen over het netwerk zijn gecodeerd, betekent dat aanvallers het verkeer niet kunnen snuiven om iets te stelen.
Dit betekent dat er slechts een klein venster met mogelijkheden is - het moment waarop de PoS-software de informatie verwerkt - voor aanvallers om de gegevens te verzamelen. De software moet de gegevens tijdelijk ontsleutelen om de transactie-informatie te zien, en de malware grijpt dat moment aan om de informatie uit het geheugen te kopiëren.
De toename van RAM-schrapende malware kan te maken hebben met het feit dat retailers steeds beter worden in het coderen van gevoelige gegevens. "Het is een wapenwedloop. We werpen een wegversperring op en de aanvallers passen zich aan en zoeken naar andere manieren om de gegevens te verzamelen, " zei Michael Sutton, vice-president beveiligingsonderzoek bij Zscaler.
Gewoon weer een malware
Het is belangrijk om te onthouden dat betaalautomaten in wezen computers zijn, zij het met randapparatuur zoals kaartlezers en toetsenborden. Ze hebben een besturingssysteem en draaien software om de verkooptransacties af te handelen. Ze zijn verbonden met het netwerk om transactiegegevens over te dragen naar back-end systemen.
En net als elke andere computer kunnen PoS-systemen worden geïnfecteerd met malware. "Traditionele regels zijn nog steeds van toepassing", zegt Chester Wisniewski, een senior beveiligingsadviseur bij Sophos. Het PoS-systeem kan worden geïnfecteerd omdat de werknemer die computer heeft gebruikt om naar een website te gaan die de malware host, of per ongeluk een schadelijke bijlage bij een e-mail heeft geopend. De malware kan misbruik hebben gemaakt van niet-gepatchte software op de computer of van een van de vele methoden die ertoe leiden dat een computer geïnfecteerd raakt.
"Hoe minder privileges de winkelmedewerkers hebben op de betaalautomaten, hoe minder waarschijnlijk ze besmet zullen raken, " zei Wisniewski. Machines die betalingen verwerken, zijn extra gevoelig en zouden geen websurfen of installatie van ongeautoriseerde applicaties moeten toestaan, zei hij.
Nadat de computer is geïnfecteerd, zoekt de malware naar specifieke soorten gegevens in het geheugen, in dit geval creditcard- en bankpasnummers. Wanneer het nummer wordt gevonden, wordt het opgeslagen in een tekstbestand met de lijst met alle gegevens die het al heeft verzameld. Op een gegeven moment stuurt de malware het bestand vervolgens - meestal via het netwerk - naar de computer van de aanvaller.
Iedereen is een doelwit
Hoewel retailers momenteel een doelwit zijn voor het parseren van geheugen, zei Wisniewski dat elke organisatie die met betaalkaarten werkt, kwetsbaar zou zijn. Dit type malware werd aanvankelijk gebruikt in de sectoren horeca en onderwijs, zei hij. Sophos verwijst naar RAM-scrapers als de Trackr Trojan en andere leveranciers noemen ze Alina, Dexter en Vskimmer.
RAM-schrapers zijn namelijk niet specifiek voor alleen PoS-systemen. De cybercriminelen kunnen de malware inpakken om gegevens te stelen in elke situatie waarin de informatie meestal wordt gecodeerd, zei Sutton.
Visa heeft in april en augustus vorig jaar twee beveiligingswaarschuwingen uitgegeven die verkopers waarschuwden voor aanvallen met geheugen-parsing PoS-malware. "Sinds januari 2013 heeft Visa een toename gezien in netwerkinbraken waarbij detailhandelaren betrokken waren, " zei Visa in augustus.
Het is niet duidelijk hoe de malware op het netwerk van Target terecht is gekomen, maar het is duidelijk dat er iets is mislukt. De malware is niet op slechts één PoS-systeem geïnstalleerd, maar op veel computers in het hele land en "niemand heeft het opgemerkt", zei Sutton. En zelfs als de malware te nieuw was voor antivirus om het te detecteren, zou het feit dat het gegevens uit het netwerk overdroeg, rode vlaggen moeten hebben opgeworpen, voegde hij eraan toe.
Voor de individuele klant is het niet echt een optie om creditcards te gebruiken. Daarom is het belangrijk om de overzichten regelmatig te controleren en alle transacties op hun rekeningen te volgen. "U moet de detailhandelaren vertrouwen met uw gegevens, maar u kunt ook waakzaam blijven", zei Sutton.
