一些惡意的軟件可以從系統(tǒng)的隨機訪問存儲器中捕獲數(shù)據(jù)。也就是說這樣是一種相對新穎的針對信用卡數(shù)據(jù)的攻擊辦法。然而內(nèi)存抓取并不是一種全新的技術(shù)。曾在2008年黑客大會中使用的冷啟動攻擊就是RAM抓取技術(shù)的另一種形式。

只需簡單地冷卻并拆下內(nèi)存芯片并將其放入另一臺計算機，然后查看內(nèi)存芯片，攻擊者瞬間就可以獲得原有計算機的磁盤加密密鑰。如果計算機重啟并且立刻載入用來傾倒內(nèi)存內(nèi)容的特定操作系統(tǒng)，即使不拿走內(nèi)存，這種攻擊方法也可能奏效。

這種冷啟動的漏洞清楚地指出了存儲在內(nèi)存中的數(shù)據(jù)是唾手可得的。同樣的方法可以用來訪問存儲在內(nèi)存中的信用卡數(shù)據(jù)，但是報告中提到的內(nèi)存抓取技術(shù)并不需要物理訪問。

通過注入已運行的進程來隱藏自身或者直接在機器上運行，當(dāng)今的內(nèi)存抓取軟件能夠躲過大多數(shù)的安全防護并訪問敏感的信用卡數(shù)據(jù)。一旦進駐系統(tǒng)，內(nèi)存抓取軟件能讀取密碼、加密密鑰、信用卡、社會保障編號或者是容易轉(zhuǎn)換成現(xiàn)金的其它類型數(shù)據(jù)。接著內(nèi)存抓取軟件要么保存這些敏感數(shù)據(jù)到本地系統(tǒng)或者通過各種方法直接發(fā)送給犯罪分子。即使偷取的信用卡數(shù)據(jù)是加密的，但如果攻擊者能夠使用類似之前描述的方法抓取到用于加密的私鑰，那么他仍然可能得逞。

因此內(nèi)存抓取軟件能夠以許多不同的方式危害企業(yè)的信息安全就不足為奇了。通過直接讀取內(nèi)存甚至是在離線的情況下讀取交換文件（硬盤上的虛擬內(nèi)存）這種惡意軟件都可以收集到數(shù)據(jù)。無論內(nèi)存抓取軟件如何獲得數(shù)據(jù)，為了執(zhí)行成功，這種攻擊必須要么利用弱配置或者讓有足夠權(quán)限的可執(zhí)行文件來讀取內(nèi)存。從整個內(nèi)存中讀取數(shù)據(jù)是緩慢、低效的并且容易被偵測到，但它仍然是一種潛在有效的攻擊。

可被攻擊的軟件是內(nèi)存抓取軟件的另一個可能的目標(biāo)。更具體地說，此類的惡意軟件攻擊內(nèi)存管理方面的軟件和敏感數(shù)據(jù)。比起讀取整個內(nèi)存這種方法會更有效，因為只需要監(jiān)控程序?qū)懭霐?shù)據(jù)到內(nèi)存的位置而不是讀取數(shù)十億字節(jié)的內(nèi)存。此外這種內(nèi)存抓取方式更難被偵測到，但是對于攻擊者來說也有不利之處。

這些類型的攻擊給企業(yè)帶來的威脅很現(xiàn)實，但只是針對那些價值高的目標(biāo)而言。編寫內(nèi)存抓取的惡意軟件比起通常看到的惡意軟件要求更高的熟練水平，因為編寫者需要根據(jù)特定的軟件或者環(huán)境來定制。

對于企業(yè)的信息安全主管來說為了防范內(nèi)存抓取攻擊，保障對于組織具有重要價值的對象（通常是那些存儲敏感數(shù)據(jù)或者是很容易就可以被訪問到的設(shè)備），最好采取有效的預(yù)防和偵測措施。很明顯首先需要辨識出這些對象，然后評估以判斷現(xiàn)有的防護措施是否充足或是需要新的技術(shù)或過程。

對于企業(yè)的一些軟件軟件不應(yīng)該以管理員權(quán)限或者是通常具有系統(tǒng)訪問的高權(quán)限運行。對于攻擊者來說訪問內(nèi)存中敏感數(shù)據(jù)最容易的途徑就是利用以管理員權(quán)限已經(jīng)運行的軟件。其次存放敏感數(shù)據(jù)的位置應(yīng)該以詳細(xì)的系統(tǒng)清單的形式保持最新。信息基礎(chǔ)設(shè)施隨著時間增長和發(fā)生變化，所以確保恰當(dāng)合適的安全措施是重要的。不管怎樣，在信息技術(shù)瞬息萬變的今天，需要提供自身的防護意識，并做一些適當(dāng)?shù)姆婪洞胧?/p>

cc

收藏 海報分享