POS终端恶意软件正不断演变

POS终端恶意软件（例如***新的PoSeidon恶意软件）正不断演变以避免被检测，企业应该如何应付呢？
          针对POS终端的恶意软件仍然是***团伙积极发展的领域，这些地下***依靠获取***的***卡数据来***，并且似乎从来不会感到满足。然而，随着数据***事 故被检测以及问题被解决，***卡公司和***已经迅速分发新卡给已***卡信息的消费者，这对于消费者来说是好事，对攻击者是坏事。
        为了跟上***更换受影响***卡的速度以及免受企业恶意防御技术的检测，POS终端（POS）恶意软件编写者需要保持其恶意软件的更新，这包括采用新战略来攻击系统，以及采取措施来避免被检测。
这种猫捉老鼠的游戏还会继续下去，除非在处理***方面出现根本性的改变。在本文中，让我们探讨一下***新的PoSeidon销售终端恶意软件的工作原理以及安全团队应该如何应对它。
       PoSeidon POS终端恶意软件
        PoSeidon恶意软件是针对POS系统的新恶意软件，它使用RAM scraping来获取***卡号码，正如Zeus和BlackPoS那样，不同的是，PoSeidon还包含一个键盘记录器来获取密码，以及其他***功能。
当这个多阶段攻击***本地系统时，它会从硬编码的命令和控制服务器***可执行文件用于保持攻击持久性和编码目标数据（***卡号码和密码），以发送到渗出服 务器。在该恶意软件执行后，它会将自己设置为服务来自动启动，以在系统重新启动时生存，它还会删除文件以降低被发现的机率。
        思科Talos研究人员指出，这个攻击中很多硬编码的IP地址和域名都是使用俄语。虽然使用俄罗斯域名、IP注册到俄罗斯ISP或者IP地理***在俄罗斯 并不一定意味着该攻击是由俄罗斯、东欧或中国的***团伙发起，但对该攻击这些指标的检测可以帮助企业识别这些活动以进行进一步调查。
        目前初次***矢量尚未明确地确定，但Talos研究人员认为可能是该恶意软件中使用的键盘记录器。但如果没有发现该恶意软件如何进入POS系统，我们就很 难识别哪些安全控制失效。另外，该恶意软件中并没有发现漏洞或漏洞利用，所以***媒介可能很简单而有效，例如使用USB驱动器插入到POS终端以自动运行 该恶意软件。
        企业如何抵御PoSeidon恶意软件
        根据PCI数据安全标准的要求，大多数抵御PoSeidon恶意软件的安全控制应该已经部署在POS环境中。例如，***个要求为安装和维护防火墙设置来保 护持卡人数据，具体要求为1.1.4，企业须在每个互联网连接以及任何隔离区和内部网络区之间部署防火墙，这应该可以阻止对未经批准外部链接的访问以及阻 止恶意软件***可执行文件。此外，PCI DSS 10.6要求为所有系统组件审查日志和安全事件以发现异常或***活动，而这应该可以检测***网络连接，并展开调查来检测恶意软件以及可能限制受影响数据 量。
        此外，用于缓解RAM-scraping恶意软件的安全建议也同样适用：反恶意软件技术可以帮助阻止恶意访问，特别是监控对内存访问的反恶意软件技术。同 时，白名单工具可以阻止恶意软件在端点执行，以及限制入站和出站网络访问可以阻止PoSeidon恶意软件。
        如果在***PoSeidon的企业部署了严格的IP网络控制，该恶意软件编写者会更加难以渗出收集、***额外恶意软件组件以及连接到命令控制基础设施。因 为这样的话，攻击者需要确定如何在每个网络渗出数据；这可能会导致攻击者出现更多错误，而被检测到。为了识别潜在受***的终端以进一步调查，企业还可以监 控DNS流量。Talos公布了几个***指标来检测该恶意软件，企业可将这些指标涵盖在网络或端点安全工具中。***重要的攻击指标应该是检测从POS系统到 以下网址的出站连接，这些指标不太会导致误报：
        • wondertechmy[.]com/pes/viewtopic.php
        • wondertechmy[.]ru/pes/viewtopic.php
        • wondwondnew[.]ru/pes/viewtopic.php
        任何发送数据到上述网址的POS系统都必须作为安全事件进行调查。
        对于很多企业来说，应该已经部署了适当的安全控制来支持PCI合规性。中小型企业可能依靠服务提供商来提供POS系统，并认为服务提供商负责维护POS安全，但这只是一个假设；中小企业应该确保在其服务合同中正式列出了服务提供商的保护责任信息。
        PCI合规的各种要求可能为早就绕过EMV标准的攻击者提供更多目标。而PoSeidon恶意软件只是POS系统攻击中使用的众多恶意软件中的又一个恶意软件，只有企业为整个系统部署了PCI数据安全标准控制，才可能阻止这些类型的恶意软件。