企業(yè)應(yīng)如何防范內(nèi)存抓取惡意軟件
一種新型惡意軟件正逐漸風(fēng)行起來(lái),它能從系統(tǒng)的隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)中捕獲數(shù)據(jù)。在Verizon公司最近的數(shù)據(jù)泄露報(bào)告中曝光的RAM抓取技術(shù),代表了一種相對(duì)新穎的針對(duì)信用卡數(shù)據(jù)攻擊方法。
然而內(nèi)存抓取并不是一種全新的技術(shù)。曾在2008年黑客大會(huì)中使用的冷啟動(dòng)攻擊就是RAM抓取技術(shù)的另一種形式。對(duì)于那些不記得這些的人,研究員們演示了如何通過(guò)突然切斷計(jì)算機(jī)的電源使得計(jì)算機(jī)的內(nèi)存保留一份最近的內(nèi)存鏡像近乎完美的拷貝,從而繞過(guò)磁盤(pán)加密。只需簡(jiǎn)單地冷卻并拆下內(nèi)存芯片并將其放入另一臺(tái)計(jì)算機(jī),然后查看內(nèi)存芯片,攻擊者瞬間就可以獲得原有計(jì)算機(jī)的磁盤(pán)加密密鑰。如果計(jì)算機(jī)重啟并且立刻載入用來(lái)傾倒內(nèi)存內(nèi)容的特定操作系統(tǒng),即使不拿走內(nèi)存,這種攻擊方法也可能奏效。
這種冷啟動(dòng)的漏洞清楚地指出了存儲(chǔ)在內(nèi)存中的數(shù)據(jù)是唾手可得的。同樣的方法可以用來(lái)訪問(wèn)存儲(chǔ)在內(nèi)存中的信用卡數(shù)據(jù),但是報(bào)告中提到的內(nèi)存抓取技術(shù)并不需要物理訪問(wèn)。
通過(guò)注入已運(yùn)行的進(jìn)程來(lái)隱藏自身或者直接在機(jī)器上運(yùn)行,當(dāng)今的內(nèi)存抓取軟件能夠躲過(guò)大多數(shù)的安全防護(hù)并訪問(wèn)敏感的信用卡數(shù)據(jù)。一旦進(jìn)駐系統(tǒng),內(nèi)存抓取軟件能讀取密碼、加密密鑰、信用卡、社會(huì)保障編號(hào)或者是容易轉(zhuǎn)換成現(xiàn)金的其它類型數(shù)據(jù)。接著內(nèi)存抓取軟件要么保存這些敏感數(shù)據(jù)到本地系統(tǒng)或者通過(guò)各種方法直接發(fā)送給犯罪分子。即使偷取的信用卡數(shù)據(jù)是加密的,但如果攻擊者能夠使用類似之前描述的方法抓取到用于加密的私鑰,那么他仍然可能得逞。
企業(yè)中的內(nèi)存抓取軟件
因此內(nèi)存抓取軟件能夠以許多不同的方式危害企業(yè)的信息安全就不足為奇了。通過(guò)直接讀取內(nèi)存甚至是在離線的情況下讀取交換文件(硬盤(pán)上的虛擬內(nèi)存)這種惡意軟件都可以收集到數(shù)據(jù)。無(wú)論內(nèi)存抓取軟件如何獲得數(shù)據(jù),為了執(zhí)行成功,這種攻擊必須要么利用弱配置或者讓有足夠權(quán)限的可執(zhí)行文件來(lái)讀取內(nèi)存。從整個(gè)內(nèi)存中讀取數(shù)據(jù)是緩慢、低效的并且容易被偵測(cè)到,但它仍然是一種潛在有效的攻擊。
可被攻擊的軟件是內(nèi)存抓取軟件的另一個(gè)可能的目標(biāo)。更具體地說(shuō),此類的惡意軟件攻擊內(nèi)存管理方面的軟件和敏感數(shù)據(jù)。比起讀取整個(gè)內(nèi)存這種方法會(huì)更有效,因?yàn)橹恍枰O(jiān)控程序?qū)懭霐?shù)據(jù)到內(nèi)存的位置而不是讀取數(shù)十億字節(jié)的內(nèi)存。此外這種內(nèi)存抓取方式更難被偵測(cè)到,但是對(duì)于攻擊者來(lái)說(shuō)也有不利之處。
這些類型的攻擊給企業(yè)帶來(lái)的威脅很現(xiàn)實(shí),但只是針對(duì)那些價(jià)值高的目標(biāo)而言。編寫(xiě)內(nèi)存抓取的惡意軟件比起通常看到的惡意軟件要求更高的熟練水平,因?yàn)榫帉?xiě)者需要根據(jù)特定的軟件或者環(huán)境來(lái)定制。
對(duì)于企業(yè)的信息安全主管來(lái)說(shuō)為了防范內(nèi)存抓取攻擊,保障對(duì)于組織具有重要價(jià)值的對(duì)象(通常是那些存儲(chǔ)敏感數(shù)據(jù)或者是很容易就可以被訪問(wèn)到的設(shè)備),最好采取有效的預(yù)防和偵測(cè)措施。很明顯首先需要辨識(shí)出這些對(duì)象,然后評(píng)估以判斷現(xiàn)有的防護(hù)措施是否充足或是需要新的技術(shù)或過(guò)程。
通過(guò)恰當(dāng)?shù)牧鞒虂?lái)追查潛在的內(nèi)存抓取攻擊(或就此而言包括任何攻擊)同樣重要。如果網(wǎng)絡(luò)監(jiān)控系統(tǒng)發(fā)現(xiàn)高價(jià)值的對(duì)象例如,某個(gè)固定銷售點(diǎn)的終端開(kāi)始與企業(yè)內(nèi)網(wǎng)或因特網(wǎng)中的新系統(tǒng)開(kāi)始通信,那么這時(shí)的告警不僅應(yīng)該引起安全職員的注意,同樣需要迅速地進(jìn)行調(diào)查。快速地調(diào)查潛在的非法通信有助于在早期就發(fā)現(xiàn)嚴(yán)重的事故并且限制或預(yù)防破壞或數(shù)據(jù)丟失。
同樣為了防止內(nèi)存抓取攻擊,軟件不應(yīng)該以管理員權(quán)限或者是通常具有系統(tǒng)訪問(wèn)的高權(quán)限運(yùn)行。對(duì)于攻擊者來(lái)說(shuō)訪問(wèn)內(nèi)存中敏感數(shù)據(jù)最容易的途徑就是利用以管理員權(quán)限已經(jīng)運(yùn)行的軟件。其次存放敏感數(shù)據(jù)的位置應(yīng)該以詳細(xì)的系統(tǒng)清單的形式保持最新。信息基礎(chǔ)設(shè)施隨著時(shí)間增長(zhǎng)和發(fā)生變化,所以確保恰當(dāng)合適的安全措施是重要的。
內(nèi)存抓取并不是全新的技術(shù),但是最近的發(fā)展代表了之前攻擊的演變并且會(huì)在今后持續(xù)地進(jìn)行。企業(yè)必須通過(guò)實(shí)施上述的一些最佳實(shí)踐來(lái)不斷地提高自身的防護(hù)以保證盡可能有效地保護(hù)敏感數(shù)據(jù)。
【編輯推薦】
