Thứ Ba, 22 tháng 12, 2009

Bọn mưu đồ bất lương nạo vét RAM để lấy dữ liệu thẻ ngân hàng

Scammers scrape RAM for bank card data

Dan Goodin, The Register 2009-12-10

Theo: http://www.securityfocus.com/news/11567

Bài được đưa lên Internet ngày: 10/12/2009

Lời người dịch: Bên cạnh việc ăn cắp mật khẩu của người sử dụng và các phần mềm độc hại, việc nạo vét RAM để ăn cắp các thông tin thẻ tín dụng nhằm mục đích ăn cắp đang gia tăng mới từ một năm nay. “Bọn nạo RAM đã đóng một vai trò trong 4% trong 592 vụ đánh thủng mà Verizon Business đã điều tra trong thời gian 4 năm bắt đầu từ năm 2004. Đối lại, việc đăng nhập bằng bàn phím và các phần mềm gián điệp (mà cấu tạo nên một chủng loại riêng) và các cửa hậu là có trong 19% và 18% các vụ một cách tương ứng”.

Xem thêm: Mossad (Israel) đã tấn công máy tính xách tay của Syria để đánh cắp các bí mật nhà máy hạt nhân.

Hãy quên chuyện đăng nhập bằng gõ bàn phím và những người hít những gói nhỏ. Trong sự tỉnh giấc của những qui định của nền công nghiệp yêu cầu các dữ liệu thẻ tín dụng phải được mã hóa, thì những phần mềm độc hại mà chúng đi qua được các thông tin văn bản rõ ràng (clear text) từ bộ nhớ máy tính là tất cả cơn giận dữ trong những kẻ mưu đồ bất lương, các nhà nghiên cứu về an ninh, nói.

“Thường thì, đây là những phần mềm độc hại đặc chủng được sử dụng trong cuộc tấn công có nhiều mục đích hơn. Thường thì, chúng được tùy biến để làm việc được với các hệ thống đặc biệt chỉ để bán của các nhà cung cấp, nên chúng hiểu được cách mà dữ liệu được định dạng và được lưu trữ”.

Jason Milletary, nhà nghiên cứu của Đơn vị về các mối Đe dọa Tính toán của SecureWorks, nói.

Cái gọi là bọn nạo RAM tẩy bộ nhớ truy cập được ngẫu nhiên (RAM) của POS, hoặc chỉ để bán, các máy tính đầu cuối, nơi mà mã số cá nhân PIN và những dữ liệu khác của thẻ tín dụng phải được lưu trữ rõ ràng sao cho nó có thể được xử lý. Khi các thông tin có giá trị đi qua, nó được tải lên tới các máy chủ được kiểm soát bởi bọn ăn cắp thẻ tín dụng.

Trong khi bọn nạo RAM từng có từ ít năm nay, thì chúng là một mối đe dọa “khá mới”, theo một báo cáo được đưa ra hôm thứ tư mà nó phác họa 15 cuộc tấn công thường có nhất từng xảy ra của các chuyên gia tại Verizon Business. Họ đã đi tới việc đưa ra những qui định của giới Công nghiệp Thẻ Thanh toán mà đòi hỏi các dữ liệu thẻ tín dụng phải được mã hóa khi đi qua từ những thương nhân tới các nhà xử lý.

“Họ chắc chắn là một câu trả lời cho một số xu hướng bên ngoài mà chúng đã và đang diễn ra trong môi trường tội phạm không gian mạng”, Wade Baker, nhà nghiên cứu và phụ trách tình báo của Verizon Business, nói. “Trong vòng 1 năm, chúng tôi đã thấy một ít trong số họ đang hoành hành”.

Các nhân viên của Verizon gần đây đã phát hiện các phần mềm độc hại trên máy chủ POS cuaru một sòng bạc và nhà nghỉ dưỡng không tên tuổi mà nó đã có một số lượng lớn không bình thường những người sử dụng mà họ đã phải chịu đựng sự giả mạo về thẻ tín dụng. Các phần mềm độc hại này là tinh vi phức tạp đủ để chui vào được các dữ liệu thẻ thanh toán rồi nạo vét toàn bộ nội dung của bộ nhớ. Điều đó là sống còn cho việc đảm bảo các phần mềm độc hại này đã không làm chậm lại các máy chủ mà có thể tránh được các nhà quản trị.

Forget keyloggers and packet sniffers. In the wake of industry rules requiring credit card data to be encrypted, malware that siphons clear-text information from computer memory is all the rage among scammers, security researchers say.

“ Typically, these are specialized malware used in more targeted attack. Often times, they are customized to to work with specific vendors' point-of-sale systems, so they understand how the data is formatted and stored. ”

Jason Milletary, researcher, SecureWorks' Counter Threat Unit

So-called RAM scrapers scour the random access memory of POS, or point-of-sale, terminals, where PINs and other credit card data must be stored in the clear so it can be processed. When valuable information passes through, it is uploaded to servers controlled by credit card thieves.

While RAM scrapers have been around for a few years, they are a "fairly new" threat, according to a report released Wednesday that outlines the 15 most common attacks encountered by security experts at Verizon Business. They come in the wake of Payment Card Industry rules that require credit card data to be encrypted as it passes from merchants to the processing houses.

"They are definitely a response to some of the external trends that have been going on in the cybercrime environment," says Wade Baker, research and intelligence principal for Verizon Business. "Within a year, we've seen quite a few of them in the wild."

Verizon employees recently found the malware on the POS server of an unnamed resort and casino that had an unusually high number of customers who had suffered credit card fraud. The malware was sophisticated enough to log only payment card data rather than dumping the entire contents of memory. That was crucial to ensuring the malware didn't create server slowdowns that would tip off administrators.

Những kẻ nạo RAM đưa các dữ liệu và các ổ cứng máy chủ. Những thủ phạm này đã viếng thăm theo những khoảng thời gian thường xuyên nào đó thông qua một cửa hậu trên máy tính để thu thập các chiến lợi phẩm.

Bọn nạo RAM đã đóng một vai trò trong 4% trong 592 vụ đánh thủng mà Verizon Business đã điều tra trong thời gian 4 năm bắt đầu từ năm 2004. Đối lại, việc đăng nhập bằng bàn phím và các phần mềm gián điệp (mà cấu tạo nên một chủng loại riêng) và các cửa hậu là có trong 19% và 18% các vụ một cách tương ứng.

Jason Milletary, một nhà nghiên cứu với Đơn vị về những mối Đe dọa Tính toán của SecureWorks, nói ông cũng thấy một sự gia tăng trong bọn nạo vét RAM qua vài năm gần đây.

“Thường thì, đây là những phần mềm độc hại đặc biệt được sử dụng trong các cuộc tấn công nhiều mục tiêu hơn”, ông nói. “Thường xuyên, chúng được tùy biến để làm việc với các hệ thống điểm để bán của các nhà cung cấp đặc biệt, nên chúng hiểu cách mà dữ liệu được định dạng và lưu trữ”.

Như vậy, chúng khó mà bị dò ra bởi các chương trình chống virus, ông và Baker của Verizon nói. Những dấu hiệu của câu chuyện này mà họ đã từng được cài đặt bao gồm cả sự hiện diện của các tệp rdump lạ lẫm và các perl script trên một ổ đĩa cứng, những thay đổi ngẫu nhiên trên không gian đĩa trống và việc giám sát các đăng ký và qui trình của hệ thống.

The RAM scraper dumped the data onto the server's hard drive. The perpetrators visited at regular intervals through a backdoor on the machine to collect the booty.

RAM scrapers played a role in four percent of the 592 breaches Verizon Business investigated over a four year period starting in 2004. By contrast, keyloggers and spyware (which comprise a single category) and backdoors factored into 19 percent and 18 percent of the cases respectively.

Jason Milletary, a researcher with SecureWorks' Counter Threat Unit, said he's also seen an uptick in RAM scrapers over the past few years.

"Typically, these are specialized malware used in more targeted attacks," he says. "Often times, they are customized to to work with specific vendors' point-of-sale systems, so they understand how the data is formatted and stored."

As such, they are rarely detected by anti-virus programs, he and Verizon's Baker say. Tell-tale signs they've been installed include the presence of strange rdump files and perl scripts on a hard drive, sudden changes in free disk space and the monitoring of registries and system processes.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.