猎云网1月12日报道 (编译:小白)
猎云网注:盘点2014年计算机领域大事件时,网络安全事件格外引人注目。尤其年末的索尼黑客门事件更搞得人心惶惶。当我们大谈新一代网络安全技术时,极具讽刺意味的是多年来网络犯罪的手段几乎没变过。与其讨论加强网络安全,不如加大力度提高普通百姓的网络安全意识。
事情很普通,跟往常的案件一样,这次是一位餐馆老板惊恐万分地给我们打来了求助电话。隔着电话我们也可以感受到他的紧张焦虑。他说他刚刚收到通知说他的餐馆泄露了支付卡信息,他的银行要求他寻找相关的调查人员进行调查。
这家餐馆的布置属于典型的中小型餐馆布置模式——几个销售点(POS)终端分布在主餐厅区域,一台用作POS网络的后台服务器的电脑单独放在经理办公室。
在调查过程中,我们不仅在POS系统和后台服务器上发现了盗取支付卡信息的恶意软件,还发现了整个餐馆的基础网络设施存在着严重的安全隐患。举一个简单的例子,用作后台服务器的电脑同时还被用于计时、记账和采购。对此,餐馆老板也承认这样做的确不妥,但是他也坦白就是目前的这些设备,也已经快超出他购置电脑和安全服务的预算了。
我们在后台服务器电脑上发现了两个远程访问服务:一个是为POS系统提供远程技术支持的服务,另一个则是会计用来检查账簿和收据的服务。我们还注意到整个餐馆的网络中并没有安装任何硬件防火墙把某些重要数据(例如存储在POS系统中的支付卡信息)和不重要数据区分开来。当我们问及此事时,餐馆老板指着还没拆封的防火墙设备,说他不会设置这个东西。
我们检查了后台服务器上的所有正在运行的进程,然后发现有一个文件名为“ncsvr32.exe”的未知可执行程序正从“C:\Windows\Temp”路径运行。这个可疑的文件名和可执行文件的非标准运行路径立刻引起了我们的注意。不正常的路径、已知的恶意文件名,以及多远程访问服务都在暗示这是一次非常普通的事件,但是为了谨慎起见我们仍需要把数据带回实验室进一步分析确认。
在分析远程访问日志时,有一个连续登陆失败的IP地址引起了我们的注意,这个地址既不是会计访问地址也不是POS供应商提供技术支持的访问地址,但连续登录失败好几次之后,这个地址最后成功进入后台服务系统。从日志中显示,先后有三个文件从这个地址传送到这台本地电脑上。随着深入挖掘数据,“作案手段”逐渐浮出水面。
信息盗窃者采用恶意软件包中的第一个文件安装第二个文件。第一个文件写入系统后,伪装成Windows服务,维持恶意软件在电脑上的运行,必要的时候还能够重启剩下的文件。而大部分的关键操作则由第二个文件完成——读取内存,搜索支付卡跟踪数据。找到数据后,程序直接跳到最后的一步,执行简单的编码。就这样,支付卡信息就被存储到电脑上,随时可取。
我们还在远程访问日志中找到了额外的记录,显示攻击这台电脑的人后来又通过该IP地址访问了后台服务器并转走了获取的支付卡信息数据。在调查结束后,我们推测由上百个支付卡卡号可能已经被泄露。我们把调查结果告诉了老板,最后清理了系统中的恶意软件,修复了系统漏洞。希望餐馆老板能以此为鉴,做好网络安全保护工作。
时至今日,大多数的数据泄露调查员对此类泄露事故已经习以为常。在过去的一年里,我们已经遇到过不少类似的数据窃取手段。但是,上述的调查发生在2010年。也就是说,5年多的时间过去了,不仅“作案手段”没什么改变,人们的数据安全意识也还是那么薄弱。
就拿最近的一次案例来说。这次的受害者不再是单个地址,而是一家全国连锁的特许经销商。在整个调查过程中,我们发现POS供应商向该连锁企业提供技术支持的远程访问服务,同样也用于全美的其他几十家企业。
从远程访问服务日志中我们很快就发现一个未授权的IP地址成功访问了服务器,紧接着转走了部分文件。在另外一个非典型的应用程序运行路径下——“C:\Users\Admin\AppData\Roaming\OracleJava”——我们找到了这个恶意软件。这个恶意软件名为“javaw.exe”,是著名的Backoff恶意软件系列中的一个。这系列恶意软件在过去的一年中成功感染了数千家企业。
本案例中的逆向工程分析显示,这个恶意软件不仅可以窃取内存数据,同时还能自动向攻击者的远程服务器传送窃取的数据。和2010案例类似,Backoff安装后也伪装成Windows服务,以便意外重启后能继续保持运行。深入调查显示POS技术提供商先前有遭遇到一次钓鱼软件袭击,对此毫不知情的技术人员为了方便把存有密码的重要文件竟然直接以“passwords.txt”命名保存在桌面上,导致文件轻易被窃取。
悲剧的是这家POS供应商管理的所有地址的主机名称和密码都保存在桌面的文本文档里,其中自然包括了这家连锁企业的主机名称和密码。因此这家连锁企业自然也遭到了同样的Backoff恶意软件的袭击。不仅如此,网络犯罪分子一共攻击了几十个服务地址,从中窃取了上千个支付卡号。
不同时间的两个极具相似性的案例向我们证明了多数网络犯罪分子多年来采取的“作案手段”几乎没有变过。但是仍有许多企业缺乏必要的安全管理和有效措施来阻止这些攻击的发生。有的案例中,当事人只是没有足够的资源去完善安全系统,而有的人则仍然抱着“我不会遇到这种情况”的想法,侥幸度日。
但是已经过去的2014年,无疑是互联网的多事之秋,也敲响了网络攻击几乎无人能幸免的警钟。而当越来越多的企业开始提高他们的网络安全等级时,那些心存侥幸的公司则更容易成为网络犯罪分子的目标。
Source:TC