For å holde tritt med utskifting av kompromitterte kredittkort og ligge i forkant av bedriften malware forsvar, point-of-salg (POS) malware forfattere trenger å opprettholde sine malware oppdateringer . Dette inkluderer å ta i bruk nye strategier for å kompromittere systemer og samtidig ta skritt for å unngå å bli oppdaget.
Denne katt og mus vil uunngåelig fortsette til fundamentale endringer er gjort i hvordan betalingene håndteres.
I tiden, la oss utforske hvordan de siste Poseidon point-of-salg malware som fungerer og hva sikkerhetsteam kan gjøre med det
Poseidon point-of-salg malware
Poseidon malware - a. ny familie av malware målretting point-of-sale systemer - bruker RAM skraping for å fange opp kredittkortnumre - akkurat som sin Zeus og BlackPoS forgjengere gjorde - men inneholder også en keylogger for å fange passord, samt andre avanserte funksjoner <. br>
Når flertrinns angrep infiserer et lokalt system, den laster ned fra en hardkodet kommando-og-kontroll-server den kjør brukes for utholdenhet og deretter koder målrettet data - kredittkortnumre og passord - for å sende til den exfiltration serveren. Når malware utført og setter seg som en tjeneste til autostart for å overleve Systemet startes på nytt, det sletter filen til å redusere sjansene for å bli identifisert.
De fleste sikkerhetskontroller som beskytter mot Poseidon malware skal allerede være implementert i POS miljøer for å møte PCI data Security standarder.
Cisco Talos forskerne registrert at mange av de hardkodede IP-adresser og domener som brukes i angrepet er russiske. Mens du bruker russiske domenenavn, ikke IP-adresser som er registrert til russiske leverandører eller lokaliseres IP-adresser i Russland ikke nødvendigvis bety en russisk, østeuropeisk eller kinesisk kriminell gjeng er ansvarlig for angrepet, overvåking for de indikatorer på kompromiss kan hjelpe bedrifter å identifisere aktiviteter for å undersøke nærmere.
den første infeksjonen vektoren har ennå ikke klart identifisert, men Talos forskerne foreslår at det kan være keylogger brukes i malware. Men uten å identifisere hvordan malware fikk på POS-systemet, er det vanskelig å identifisere hvilke sikkerhetskontroller mislyktes. Dessuten er det ingen sårbarheter eller utnytter identifisert i malware, så infeksjonen vektor kan være så enkelt - men effektive -. Som ved hjelp av en USB-stasjon satt til autorun malware når den er plugget inn i POS terminal
Enterprise forsvar mot Poseidon malware
de fleste sikkerhetskontroller som beskytter mot Poseidon malware skal allerede være implementert i POS miljøer for å oppfylle kravene i PCI data Security Standards. For eksempel, det første kravet - installasjon og vedlikehold av en brannmur konfigurasjon for å beskytte kortholderdata, spesielt krav 1.1.4 for en brannmur på hver Internett-tilkobling og mellom en demilitarisert sone og det interne nettverket sonen - kunne ha blokkert tilgangen til ikke-godkjent utgående eksterne tilkoblinger og sperret malware fra å laste ned den kjør brukes for utholdenhet. I tillegg PCI DSS kravet 10,6 - gjennomgang logger og sikkerhetshendelser for alle systemkomponenter for å identifisere avvik eller mistenkelig aktivitet - kunne ha oppdaget mistenkelig nettverkstilkoblinger og igangsatt en undersøkelse for å oppdage malware og potensielt begrense mengden data kompromittert i tillegg de samme sikkerhets anbefalinger for å dempe RAM-skraping malware gjelder: antimalware programvare - spesielt en som overvåker for tilgang til minne - kan bidra til å blokkere skadelig tilgang. I mellomtiden kan hvitlisting verktøy stoppe malware fra å kjøre på endepunktene, og begrense innkommende og utgående nettverkstilgang kan stoppe Poseidon malware. Hadde strenge IP-nettverkskontroller vært på plass i organisasjonene Poseidon smittet, kunne det ha vært mye vanskeligere for malware forfattere til exfiltrate data, laste ned tilleggskomponenter malware og koble til command-and-control infrastruktur. En angriper må identifisere hvordan exfiltrate data på en per-nettverk basis; Dette vil trolig føre til vesentlig flere feil av angriperne, noe som kan føre til gjenkjenning. For å identifisere potensielt kompromittert endepunktene for å undersøke ytterligere, kan organisasjoner også overvåke DNS-trafikk. Talos gitt ut flere indikatorer på kompromiss som kan inngå i et nettverk eller endepunkt sikkerhet verktøy for å oppdage malware. Potensielt viktigste indikator på kompromiss som ville resultere i noen falske positive ville være å oppdage en utgående tilkobling fra POS-systemet til disse nettadressene: [.] Alle POS system sender data til en av disse nettadressene må være undersøkt som en hendelse. for mange bedrifter, de riktige sikkerhetskontroller skal allerede være på plass for å støtte PCI etterlevelse. Mens små og mellomstore organisasjoner kan stole på en tjenesteleverandør for deres point-of-salg system og tror tjenesteleverandøren opprettholder POS sikkerhet, dette er bare en antagelse; SMB bør sørge for informasjon om tilbydernes beskyttelses ansvar er formelt inngår i kontrakten for denne tjenesten. Den lange halen av PCI etterlevelse vil trolig gi mål for kriminelle lang fortid gjennomføringen av EMV-standarden. Oppdagelsen av Poseidon malware er en annen i en lang rekke av malware som brukes i angrep på POS systemer. Bare når bedrifter implementere PCI Data Security Standard kontroller for hele systemet kan disse typer malware forebygges.
wondertechmy [.] ru /pes /viewtopic.php
wondwondnew [.] ru /pes /viewtopic.php