Как стать автором
Обновить
0
Varonis Systems
Защита от внутренних угроз и комплексных кибератак

Проблема вредоносного ПО для PoS – терминалов в гостиничной индустрии

Время на прочтение 5 мин
Количество просмотров 4K
Автор оригинала: Cindy Ng
Только я один заметил недавний рост утечек данных в гостиничной индустрии, пугающий своими масштабами? Путешествуя, Вы находитесь в уязвимом положении, и хочется быть уверенным верить, что забронированный Вами люкс будет безопасен. А безопасность эта будет обеспечена дверьми с несколькими замками, номерами, в которых часто есть небольшие сейфы для хранения ценных вещей и охранной системой видеонаблюдения, имеющейся в отеле.

В отелях конечно же имеются различные подобные средства, и персонал несет перед нами определенную ответственность, как хозяин перед гостем.



Но отели также хранят ваши данные, обычно данные кредитной карты. Принимая во внимание резонансные кражи данных в отелях, можно резюмировать, что эта отрасль не оправдала себя с точки зрения безопасности. Оказывается, направление атак, которое выбирают злоумышленники в точности такое же, как и в случае использования вредоносного ПО для атак PoS-терминалов (Point-of-Sale) крупных розничных сетей.

Да, определенно, BlackPOS и другие виды бэкдоров облюбовали себе отели и гостиницы для отпуска на несколько месяцев, по-видимому, чтобы проверить улов кредитных карт.

И что является самым поразительным – это то, как мало полезного опыта извлечено из случаев огромных утечек данных в ритейле.

Сценарий Атаки вредоносного ПО для PoS (PoSware)

На самом деле, изучая все эти инциденты, можно отметить, что нет ничего нового в выбираемых целях для атаки. Хотя одна вещь все-таки есть: это скрытность совершающихся заражений PoS, в отличие от уже известных способов.

В любом случае, большинство специалистов по ИБ вероятно согласится со следующим сценарием:

• Злоумышленники проникают через бреши в безопасности – фишинг, SQL инъекции и другие хорошо известные уязвимости (пароли по умолчанию и т.п.). Для начала атаки часто используются средства удаленного администрирования (RAT) или им подобные приложения.

• Проникнув внутрь, они двигаются дальше, используя стандартные приемы вроде сканирования портов, стандартные соглашения имен в Active Directory и других объектов инфраструктуры, взлом паролей и pass-the-hash. Цель на данном этапе: найти PoS-терминал или сервер.

• После того, как PoS-устройство(а) было определено, злоумышленники генерируют полезную нагрузку, используя специальное ПО типа RAM-scraping, которое помогает исследовать память сервера и захватить данные во время их обработки. В этот момент Posware берет контроль на себя, а злоумышленники управляют им удаленно.

• Затем PoSware запускает поиск в памяти сервера и собирает данные о кредитных картах, периодически сбрасывая их на файловую систему.

• И наконец, PoSware отправляет файл с данными о кредитках на сервера злоумышленников, путем встраивания этого файла в Post/Get запрос HTTP-сообщения.

Несмотря на большое количество вариантов, встречающихся на практике, можно отметить что приведенный сценарий достаточно типичен для большинства атак на PoS-устройства, с которыми мы встречались в последние годы.

Играя от обороны

Как мы с вами знаем, когда происходит нападение – хакерская атака, специалисты по информационной безопасности также понимают kill chain – как остановить атаку на различных этапах.

Также надо отметить, что одним из факторов, который изменил ситуацию со взломом PoS, является то, что любители были вытеснены профессионалами. Преступные группировки, такие как Black Atlas превратили PoS-хакинг в криминальную индустрию.

Таким образом, становиться еще более важным повысить приоритет kill chain (стратегии защиты) для PoSware в существующей структуре задач, решаемых IT, особенно если вы работаете в гостиничной отрасли или индустрии отдыха и развлечений.

Вот несколько ключевых областей, где, как мне кажется, небольшие инвестиции принесут большие выгоды в плане безопасности:

• Образование сотрудников — если Вы объясните сотрудникам, как выглядят фишинговые почтовые сообщения, Вы сможете предотвратить большинство атак с самого начала. Это хорошая превентивная мера — донести до сотрудников — никогда не запускать ссылки или вложения от внешних отправителей, предварительно не удостоверившись в надежности отправителя или однозначно идентифицировав его адрес.

Управление данными — злоумышленники, это не пришельцы из более развитой цивилизации. Как и все остальные люди, они должны иметь доступ к файловой системе для первоначального наблюдения и анализа информации. Идея состоит в том, чтобы тщательно проанализировать ACLs (списки контроля доступа) и ограничить доступ таким образом, чтобы хакеры не смогли использовать учетные данные случайного пользователя, т.е. не могли читать, копировать и создавать файлы в важных папках и каталогах.

• Белые списки — для PoS-системы должен быть строго определен перечень устанавливаемых программных продуктов. В конце концов, это компьютер, решающий только одну задачу: обработку транзакций по кредитным картам. Теоритически, применение белого списка защищает систему от запуска нестандартных исполняемых файлов и выступает эффективным противоядием для хакерского ПО. Хотя ситуации бывают разные. Например, в некоторых недавних атаках использованы руткит-технологии, когда происходит модификация ядра, делая вредоносное ПО практически невидимым для операционной системы.

• Актуальные обновления — Убедитесь, что у Вас установлены последние обновления, влияющие на безопасность.

• Управление учетными данными/ослабление роли Pass-the-Hash (PtH) атак — это обширная область, суть которой: лишить хакеров легких способов получения учетных данных. Убедитесь, что в вашей организации внедрены жесткие политики по работе с паролями, поиск и удаление паролей хранящихся в виде текстовых файлов или хэш-файлов и, если возможно, отключены компоненты Windows, хранящие пароли в открытом текстовом виде в LSASS памяти. И наконец, убедитесь, что учетные записи администраторов домена не используются в локальной сети, на компьютерах пользователей — это позволяет хакерам совершать кражи через PtH.

UBA?

Злоумышленники всегда стремятся использовать свои шансы, и они могут их получить — неизменённые пароли по умолчанию, патчи и обновления, которые не были вовремя установлены, или скажем, успешный фишинг или атака с целью копроментации IT директора.

А также существуют уязвимости нулевого дня, от которых невозможно защититься.

И в такой ситуации функции уведомления и мониторинга начинают играть решающую роль. Дело не только в обнаружении внешних вторжений и антивирусных сканированиях. Помните: PoS-злоумышленники действуют изнутри и их активность практически незаметна, в то время как Вы продолжаете использовать сугубо стандартные и известные методы обнаружений.

В этих реалиях мой совет будет выражен тремя словами: Поведенческий анализ пользователей (UserBehavior Analytics)

Вы — специалист информационной безопасности в гостиничной индустрии — не сможете обнаружить этих злоумышленников, не учитывая текущую активность пользователей и системы на существующей инфраструктуре.

Генерируя активность, имитирующую работу обычного пользователя, злоумышленники одновременно могут получать доступ к конфигурационным файлам системы, копировать или перемещать большие объемы файлов, шифровать данные о кредитных картах — то есть создавать активность, уже не являющуюся рутинной для данного пользователя.

И здесь на сцену выходит поведенческий анализ. Он позволяет контролировать среднее или, скажем так, нормальное поведение реального пользователя в рамках своих прав и должностных обязанностей, а в случае возникновения отклонений, уведомлять об этом сотрудников отдела безопасности.

И хотя, быть может, вы не сможете предотвратить сам факт внешнего вторжения в PoS-систему отеля, но используя поведенческий анализ, вы сможете определить сегменты, выбранные для атаки, и в идеале предотвратить похищение данных о кредитных картах.
Теги:
Хабы:
+2
Комментарии 2
Комментарии Комментарии 2

Публикации

Информация

Сайт
varonis.com
Дата регистрации
Дата основания
Численность
1 001–5 000 человек
Местоположение
США

Истории