新瓶装旧酒的网络犯罪

下一篇文章

新年畅想:社会的最终希望仍在于科技行业

编辑按 :乔纳森·斯普鲁尔(Jonathan Spruill)现任 Trustwave 的管理顾问,也是该公司美洲应急响应 &  数字取证实践团队成员

和大多数时候一样,这件事要从一位餐馆老板的一通惊狂电话说起。电话中他的恐慌和不确定通过信号传了过来。他刚刚接到通知,自己的餐馆泄露了支付卡数据,银行强制他找一位调查人员来确定发生了什么事。

涉事餐馆的布置和其他中小型餐馆没什么两样,在主餐厅有几台销售点 (POS) 终端,经理的办公室有一台电脑用作 POS 网络的后台服务器。

在调查期间,我们不仅在 POS 系统和后台服务器中发现了窃取支付卡信息的恶意软件,还在整个餐馆的基础设施中发现了麻烦的安全缺陷。比如,后台服务器还用于计时、会计和采购。餐馆老板知道这并不是最理想的情况,但他们用于计算设备和安全的预算已经捉襟见肘了。

我们在后台服务器上发现了两个远程访问服务:一个是 POS 系统的厂商用来提供远程技术支持的,另一个则是用来让会计检查账簿和收据的。我们还注意到,这个餐馆并没有在其网络中安装硬件防火墙来隔离关键信息(比如 POS 系统中的支付卡数据)和非关键信息。餐馆老板指了指架子上一个确实装有防火墙设备的盒子,但这台设备还未拆封。他说搞不懂怎么设置这台机器。

我们检查了后台服务器上在运行的进程,看到一个来自“C:\Windows\Temp.”文件夹的可执行文件“ncsvr32.exe”在运行。这一可执行文件的文件名和异常路径立即引起了我们的关注。不同寻常的路径、已知的恶意文件名和多个远程访问服务预示着这是一个熟悉的故事,不过我们还是需要回到实验室中确认一些细节。

在检查远程访问程序的日志时,我们注意到有一个 IP 地址连续试图登录失败,这个地址和会计、POS 系统厂商的 IP 地址都不同。在几次登录失败后,这个 IP 地址终于登录成功了。日志显示这个 IP 地址共传输了三个文件。随着挖掘数据的继续,我们可以清楚地看到攻击者们的行动。

他们用恶意软件包中的第一个文件来安装第二个文件。第一个文件安装后成了一项 Windows 服务,可以让恶意软件一直在系统中运行,并在必要时重启剩下的文件。第二个文件做了大部分事情,读取内存并搜索支付卡追踪数据。当它发现数据时,就把数据传输给最后一个文件来执行简单的编码工作。最后,数据会保存在电脑中,等待攻击者提取。

我们还在远程访问日志中看到了额外的条目,攻击者的 IP 地址重新访问并从后台电脑中转走了数据。在调查结束后,我们判断出有数百个支付卡帐号泄露了。我们与餐馆老板分享了这些发现,清理和修复活动也随之展开。

如今的大多数数据泄露取证调查员会发现,这类事件都在意料之中。事实上,在过去一年中,我们在一些数据泄露案件中也看到了这些犯罪策略。不过,上面的调查发生在 2010 年。换句话说,五年过去了,事情还是没有发生改变。

让我们拿最近的一个案例和 2010 的案例来比较。这次的受害企业并不是一个地点,而是一家全国连锁的特许经营店。在调查期间,我们发现 POS 系统厂商使用同一个远程访问服务来为受害企业和全美另外十几家店提供支持。

这一服务的访问日志显示,一个未获授权的 IP 地址成功登录并传输了一些文件。恶意软件在另一个非标准的路径中“C:\Users\Admin\AppData\Roaming\OracleJava.”找到。“javaw.exe”这个文件是 Backoff 恶意软件家族的成员,该系列恶意软件在去年感染了数千家企业。

对这一样本的逆向工程显示,这个恶意软件能够读取内存并向攻击者控制的服务器自动传输信息。和 2010 年案例中发现的内存读取器一样,Backoff 在安装后也变成了 Windows 服务,以便持续运行。进一步的调查显示,POS 系统支持提供商碰到过一起钓鱼攻击,而不知情的技术人员为方便而在桌面上保存的密码文件“passwords.txt”泄露了。

这个文件包含这一 POS 系统厂商管理的所有地点的主机名和密码,因此,事件中的这家特许经营店旗下所有加盟店也都受到了同样的 Backoff 恶意软件感染。最后,犯罪分子们入侵了几十个地点,偷走了数千个支付卡帐号。

两个案例显示出,许多犯罪分子多年来使用相同的攻击套路。然而,许多企业依然缺乏基本的安全控制和最佳实践来阻止这类攻击。在一些情况中,它们只是没有资源来投入到安全上;而在其他情况中,它们仍然抱有“不会发生在我身上”的想法。

过去一年中的经历表明,没有人能免于攻击;然而,企业越难让犯罪分子成功入侵,犯罪分子就越可能转而去攻击更容易的目标。

翻译:1thinc0

In Cybercrime, What’s Old Is New Again

blog comments powered by Disqus