1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Forsvar mot RAM skraper malware i enterprise

Men det er RAM skraping ikke helt ny. En annen form for RAM skraping ble brukt i de kald boot angrep av 2008. For de som ikke husker, forskere demonstrert hvordan å styrte disk kryptering ved brått å kutte en datamaskin makt, noe som fører til sin RAM for å bevare en tilnærmet perfekt kopi av sin nyeste minnebildet. Bare ved avkjøling og fjerne sin RAM-brikke, slippe det inn i en annen maskin og undersøke RAM-brikke, kan en angriper få det opprinnelige datamaskinens diskkrypteringsnøkkel i løpet av noen øyeblikk. Angrepet kan også være effektiv uten å ta ut minne ut om datamaskinen ble makt syklet og umiddelbart lastet med et spesialisert operativsystem laget for å dumpe innholdet i minnet.

Sikkerhetsproblemet kald-boot klart påpekt at data lagret i RAM var der for å ta. Den samme metoden kan brukes til å få tilgang til kredittkortdata som er lagret i RAM, men RAM skraper i rapporten ikke krever fysisk tilgang.

Dagens RAM skrapere er i stand til å omgå de fleste sikkerhets beskyttelse og tilgang til sensitiv kredittkort data enten ved å injisere seg selv til å kjøre prosesser for å skjule eller direkte utfører på maskiner. En gang i et system, kan RAM skraper lese passord, krypteringsnøkler, kredittkort, personnummer, eller andre typer data som er lett å tjene penger. RAM skraper deretter kan enten lagre denne sensitive data til et lokalt system eller sende det direkte til de kriminelle via en rekke ulike metoder. Selv om det stjålne kredittkort data er kryptert, kan skaden fortsatt gjøres hvis angriperen er i stand til å også ta den private nøkkelen til krypteringen i en lignende måte som beskrevet tidligere.
RAM skraper i bedriften

så da er det ingen overraskelse at RAM skraper kan kompromittere bedriftsinformasjon sikkerhet på mange forskjellige måter. Denne formen for malware kan samle data ved å lese direkte fra hukommelsen, eller fra en swap-fil (virtuelt minne på en harddisk) hvis det blir lest offline. Uansett hvordan det henter dataene, for å være vellykket, til en RAM-skraping angrep må enten utnytte en konfigurasjon svakhet kunne lese hele minnet, eller har den kjør kjøre med nok rettigheter til å lese minnet. Lese fra alt minnet er treg, ineffektiv og lettere å oppdage, men det er fortsatt en potensielt effektiv angrep.

Angripe programvare er en annen mulig mål for RAM skrapere. Mer spesifikt, slike angrep malware minnehåndteringen i programvare og sensitive data. Dette ville være mer effektivt enn å lese alt minnet, fordi det ville ha til å overvåke hvor programmet skrev til minne, i stedet for å lese gigabyte minne. I tillegg er dette RAM-skraper metoden mer vanskelig å oppdage, men det finnes også ulemper for angriperen.

Disse typer angrep representerer en realistisk trussel mot bedrifter, men bare for høy verdi mål. Crafting RAM-skraping malware krever et høyere nivå av raffinement enn hyppigst sett malware, fordi det må være skreddersydd for bestemte programvare eller miljø.

For å forsvare seg mot RAM skraping, er det en god idé for bedriftens IT-sikkerhet ledere til sørge for forebyggende og detektiv tiltak er på plass for organisasjonens høyverdige mål, typisk enheter hvor sensitive data ligger eller som kan representere en måte å enkelt få tilgang til den. Tydeligvis disse målene må først bli identifisert, og deretter evalueres for å avgjøre om eksisterende defensive tiltak er tilstrekkelig, eller om ny teknologi eller prosesser er nødvendig.

Å sette en prosess på plass for å følge opp potensielle RAM-skraping angrep (eller angrep, for den saks skyld) er like viktig. Hvis nettverks overvåkingssystemer identifisere når en høy verdi mål, for eksempel en stasjonær point-of-salg terminal, begynner å kommunisere med nye systemer på et internt nettverk i bedriften eller på Internett, bør dette varselet ikke bare trekke oppmerksomheten sikkerhet staff, men også bli undersøkt raskt. Gransker potensielt ulovlig kommunikasjon raskt kan bidra til å identifisere alvorlige hendelser tidlig og begrense eller hindre skade eller tap av data.

Også for å beskytte mot RAM-skraping angrep, systemer skal ikke kjøres på administrativt nivå, eller med generelt høye nivåer av tilgang til systemet. Den enkleste måten for en angriper å få tilgang til sensitive data fra RAM er ved å utnytte programvaren allerede kjører med administratornivå privilegier. Dernest bør plasseringen av sensitive data skal holdes oppdatert i et detaljert system inventar. IT-infrastrukturen vokse og endre seg over tid, så det er viktig å sørge for at sikkerhetstiltak er på rett sted.

RAM skrapere er ikke ny, men den siste utviklingen representerer en utvikling i tidligere angrep som vil fortsette å avansere i fremtiden. Bedrifter må kontinuerlig forbedre sitt forsvar ved å implementere noen av de nevnte beste praksis for å sikre at sensitive data er beskyttet effektivt som mulig.