最近、BlackPOSなどのPOSマルウェアのニュースをよく目にします。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。
参考URL:
Point-of-Sale and memory scrappers
メモリ上には、暗号化されているような機微情報(パスワードやカード情報とか)もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。
POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
#これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。
(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))
カードに関係する文字列:
・[0-9]{13,19} --- クレジットカード番号
・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
・(1[2-9])(0[1-9]|1[0-2]) --- YYMM(2012年〜2019年)
・[0-9\s]{3,50} --- CVC / CVV
このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。
メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど4月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。
このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。
最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。
参考URL:
What retailers need to learn from the Target breach to protect against similar attacks
POSシステムに限った話でもありませんので、参考になると思います。
雑文、失礼しました。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。
参考URL:
Point-of-Sale and memory scrappers
メモリ上には、暗号化されているような機微情報(パスワードやカード情報とか)もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。
POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
#これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。
(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))
カードに関係する文字列:
・[0-9]{13,19} --- クレジットカード番号
・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
・(1[2-9])(0[1-9]|1[0-2]) --- YYMM(2012年〜2019年)
・[0-9\s]{3,50} --- CVC / CVV
このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。
メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど4月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。
このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。
最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。
参考URL:
What retailers need to learn from the Target breach to protect against similar attacks
POSシステムに限った話でもありませんので、参考になると思います。
雑文、失礼しました。
