一些恶意的软件可以从系统的随机访问存储器中捕获数据。也就是说这样是一种相对新颖的针对信用卡数据的攻击办法。然而内存抓取并不是一种全新的技术。曾在2008年黑客大会中使用的冷启动攻击就是RAM抓取技术的另一种形式。

只需简单地冷却并拆下内存芯片并将其放入另一台计算机,然后查看内存芯片,攻击者瞬间就可以获得原有计算机的磁盘加密密钥。如果计算机重启并且立刻载入用来倾倒内存内容的特定操作系统,即使不拿走内存,这种攻击方法也可能奏效。

这种冷启动的漏洞清楚地指出了存储在内存中的数据是唾手可得的。同样的方法可以用来访问存储在内存中的信用卡数据,但是报告中提到的内存抓取技术并不需要物理访问。

应该怎样防范内存恶意抓取软件?

通过注入已运行的进程来隐藏自身或者直接在机器上运行,当今的内存抓取软件能够躲过大多数的安全防护并访问敏感的信用卡数据。一旦进驻系统,内存抓取软件能读取密码、加密密钥、信用卡、社会保障编号或者是容易转换成现金的其它类型数据。接着内存抓取软件要么保存这些敏感数据到本地系统或者通过各种方法直接发送给犯罪分子。即使偷取的信用卡数据是加密的,但如果攻击者能够使用类似之前描述的方法抓取到用于加密的私钥,那么他仍然可能得逞。

因此内存抓取软件能够以许多不同的方式危害企业的信息安全就不足为奇了。通过直接读取内存甚至是在离线的情况下读取交换文件(硬盘上的虚拟内存)这种恶意软件都可以收集到数据。无论内存抓取软件如何获得数据,为了执行成功,这种攻击必须要么利用弱配置或者让有足够权限的可执行文件来读取内存。从整个内存中读取数据是缓慢、低效的并且容易被侦测到,但它仍然是一种潜在有效的攻击。

可被攻击的软件是内存抓取软件的另一个可能的目标。更具体地说,此类的恶意软件攻击内存管理方面的软件和敏感数据。比起读取整个内存这种方法会更有效,因为只需要监控程序写入数据到内存的位置而不是读取数十亿字节的内存。此外这种内存抓取方式更难被侦测到,但是对于攻击者来说也有不利之处。

这些类型的攻击给企业带来的威胁很现实,但只是针对那些价值高的目标而言。编写内存抓取的恶意软件比起通常看到的恶意软件要求更高的熟练水平,因为编写者需要根据特定的软件或者环境来定制。

对于企业的信息安全主管来说为了防范内存抓取攻击,保障对于组织具有重要价值的对象(通常是那些存储敏感数据或者是很容易就可以被访问到的设备),最好采取有效的预防和侦测措施。很明显首先需要辨识出这些对象,然后评估以判断现有的防护措施是否充足或是需要新的技术或过程。

对于企业的一些软件软件不应该以管理员权限或者是通常具有系统访问的高权限运行。对于攻击者来说访问内存中敏感数据最容易的途径就是利用以管理员权限已经运行的软件。其次存放敏感数据的位置应该以详细的系统清单的形式保持最新。信息基础设施随着时间增长和发生变化,所以确保恰当合适的安全措施是重要的。不管怎样,在信息技术瞬息万变的今天,需要提供自身的防护意识,并做一些适当的防范措施。