一种新型恶意软件正逐渐风行起来,它能从系统的随机访问存储器(RAM)中捕获数据。在Verizon公司最近的数据泄露报告中曝光的RAM抓取技术,代表了一种相对新颖的针对信用卡数据攻击方法。
然而内存抓取并不是一种全新的技术。曾在2008年黑客大会中使用的冷启动攻击就是RAM抓取技术的另一种形式。对于那些不记得这些的人,研究员们演示了如何通过突然切断计算机的电源使得计算机的内存保留一份最近的内存镜像近乎完美的拷贝,从而绕过磁盘加密。只需简单地冷却并拆下内存芯片并将其放入另一台计算机,然后查看内存芯片,攻击者瞬间就可以获得原有计算机的磁盘加密密钥。如果计算机重启并且立刻载入用来倾倒内存内容的特定操作系统,即使不拿走内存,这种攻击方法也可能奏效。
这种冷启动的漏洞清楚地指出了存储在内存中的数据是唾手可得的。同样的方法可以用来访问存储在内存中的信用卡数据,但是报告中提到的内存抓取技术并不需要物理访问。
通过注入已运行的进程来隐藏自身或者直接在机器上运行,当今的内存抓取软件能够躲过大多数的安全防护并访问敏感的信用卡数据。一旦进驻系统,内存抓取软件能读取密码、加密密钥、信用卡、社会保障编号或者是容易转换成现金的其它类型数据。接着内存抓取软件要么保存这些敏感数据到本地系统或者通过各种方法直接发送给犯罪分子。即使偷取的信用卡数据是加密的,但如果攻击者能够使用类似之前描述的方法抓取到用于加密的私钥,那么他仍然可能得逞。
企业中的内存抓取软件
因此内存抓取软件能够以许多不同的方式危害企业的信息安全就不足为奇了。通过直接读取内存甚至是在离线的情况下读取交换文件(硬盘上的虚拟内存)这种恶意软件都可以收集到数据。无论内存抓取软件如何获得数据,为了执行成功,这种攻击必须要么利用弱配置或者让有足够权限的可执行文件来读取内存。从整个内存中读取数据是缓慢、低效的并且容易被侦测到,但它仍然是一种潜在有效的攻击。
可被攻击的软件是内存抓取软件的另一个可能的目标。更具体地说,此类的恶意软件攻击内存管理方面的软件和敏感数据。比起读取整个内存这种方法会更有效,因为只需要监控程序写入数据到内存的位置而不是读取数十亿字节的内存。此外这种内存抓取方式更难被侦测到,但是对于攻击者来说也有不利之处。
这些类型的攻击给企业带来的威胁很现实,但只是针对那些价值高的目标而言。编写内存抓取的恶意软件比起通常看到的恶意软件要求更高的熟练水平,因为编写者需要根据特定的软件或者环境来定制。
对于企业的信息安全主管来说为了防范内存抓取攻击,保障对于组织具有重要价值的对象(通常是那些存储敏感数据或者是很容易就可以被访问到的设备),最好采取有效的预防和侦测措施。很明显首先需要辨识出这些对象,然后评估以判断现有的防护措施是否充足或是需要新的技术或过程。
通过恰当的流程来追查潜在的内存抓取攻击(或就此而言包括任何攻击)同样重要。如果网络监控系统发现高价值的对象例如,某个固定销售点的终端开始与企业内网或因特网中的新系统开始通信,那么这时的告警不仅应该引起安全职员的注意,同样需要迅速地进行调查。快速地调查潜在的非法通信有助于在早期就发现严重的事故并且限制或预防破坏或数据丢失。
同样为了防止内存抓取攻击,软件不应该以管理员权限或者是通常具有系统访问的高权限运行。对于攻击者来说访问内存中敏感数据最容易的途径就是利用以管理员权限已经运行的软件。其次存放敏感数据的位置应该以详细的系统清单的形式保持最新。信息基础设施随着时间增长和发生变化,所以确保恰当合适的安全措施是重要的。
内存抓取并不是全新的技术,但是最近的发展代表了之前攻击的演变并且会在今后持续地进行。企业必须通过实施上述的一些最佳实践来不断地提高自身的防护以保证尽可能有效地保护敏感数据。