POS終端惡意軟件(例如最新的PoSeidon惡意軟件)正不斷演變以避免被檢測，企業應該如何應付呢?

針對POS終端的惡意軟件仍然是犯罪團伙積極發展的領域，這些地下組織依靠獲取泄露的信用卡數據來賺錢，并且似乎從來不會感到滿足。然而，隨著數據泄露事故被檢測以及問題被解決，信用卡公司和銀行已經迅速分發新卡給已泄露卡信息的消費者，這對于消費者來說是好事，對攻擊者是壞事。

為了跟上銀行更換受影響信用卡的速度以及免受企業惡意防御技術的檢測，POS終端(POS)惡意軟件編寫者需要保持其惡意軟件的更新，這包括采用新戰略來攻擊系統，以及采取措施來避免被檢測。

這種貓捉老鼠的游戲還會繼續下去，除非在處理支付方面出現根本性的改變。在本文中，讓我們探討一下最新的PoSeidon銷售終端惡意軟件的工作原理以及安全團隊應該如何應對它。

PoSeidon POS終端惡意軟件

PoSeidon惡意軟件是針對POS系統的新惡意軟件，它使用RAM scraping來獲取信用卡號碼，正如Zeus和BlackPoS那樣，不同的是，PoSeidon還包含一個鍵盤記錄器來獲取密碼，以及其他高級功能。

當這個多階段攻擊感染本地系統時，它會從硬編碼的命令和控制服務器下載可執行文件用于保持攻擊持久性和編碼目標數據(信用卡號碼和密碼)，以發送到滲出服務器。在該惡意軟件執行后，它會將自己設置為服務來自動啟動，以在系統重新啟動時生存，它還會刪除文件以降低被發現的機率。

思科Talos研究人員指出，這個攻擊中很多硬編碼的IP地址和域名都是使用俄語。雖然使用俄羅斯域名、IP注冊到俄羅斯ISP或者IP地理定位在俄羅斯并不一定意味著該攻擊是由俄羅斯、東歐或中國的犯罪團伙發起，但對該攻擊這些指標的檢測可以幫助企業識別這些活動以進行進一步調查。

目前初次感染矢量尚未明確地確定，但Talos研究人員認為可能是該惡意軟件中使用的鍵盤記錄器。但如果沒有發現該惡意軟件如何進入POS系統，我們就很難識別哪些安全控制失效。另外，該惡意軟件中并沒有發現漏洞或漏洞利用，所以感染媒介可能很簡單而有效，例如使用USB驅動器插入到POS終端以自動運行該惡意軟件。

企業如何抵御PoSeidon惡意軟件

根據PCI數據安全標準的要求，大多數抵御PoSeidon惡意軟件的安全控制應該已經部署在POS環境中。例如，第一個要求為安裝和維護防火墻設置來保護持卡人數據，具體要求為1.1.4，企業須在每個互聯網連接以及任何隔離區和內部網絡區之間部署防火墻，這應該可以阻止對未經批準外部鏈接的訪問以及阻止惡意軟件下載可執行文件。此外，PCI DSS 10.6要求為所有系統組件審查日志和安全事件以發現異常或可疑活動，而這應該可以檢測可疑網絡連接，并展開調查來檢測惡意軟件以及可能限制受影響數據量。

此外，用于緩解RAM-scraping惡意軟件的安全建議也同樣適用：反惡意軟件技術可以幫助阻止惡意訪問，特別是監控對內存訪問的反惡意軟件技術。同時，白名單工具可以阻止惡意軟件在端點執行，以及限制入站和出站網絡訪問可以阻止PoSeidon惡意軟件。

如果在感染PoSeidon的企業部署了嚴格的IP網絡控制，該惡意軟件編寫者會更加難以滲出收集、下載額外惡意軟件組件以及連接到命令控制基礎設施。因為這樣的話，攻擊者需要確定如何在每個網絡滲出數據;這可能會導致攻擊者出現更多錯誤，而被檢測到。為了識別潛在受感染的終端以進一步調查，企業還可以監控DNS流量。Talos公布了幾個感染指標來檢測該惡意軟件，企業可將這些指標涵蓋在網絡或端點安全工具中。最重要的攻擊指標應該是檢測從POS系統到以下網址的出站連接，這些指標不太會導致誤報：

· wondertechmy[.]com/pes/viewtopic.php

· wondertechmy[.]ru/pes/viewtopic.php

· wondwondnew[.]ru/pes/viewtopic.php

任何發送數據到上述網址的POS系統都必須作為安全事件進行調查。

對于很多企業來說，應該已經部署了適當的安全控制來支持PCI合規性。中小型企業可能依靠服務提供商來提供POS系統，并認為服務提供商負責維護POS安全，但這只是一個假設;中小企業應該確保在其服務合同中正式列出了服務提供商的保護責任信息。

PCI合規的各種要求可能為早就繞過EMV標準的攻擊者提供更多目標。而PoSeidon惡意軟件只是POS系統攻擊中使用的眾多惡意軟件中的又一個惡意軟件，只有企業為整個系統部署了PCI數據安全標準控制，才可能阻止這些類型的惡意軟件。