一些恶意软件可以从系统的随机访问存储器中捕获数据。换句话说,这是一种相对新颖的信用卡数据攻击方法。然而,内存捕获并不是一种新技术。2008年黑客大会使用的冷启动攻击是RAM捕获技术的另一种形式。
只需简单地冷却和拆卸内存芯片,并将其放入另一台计算机中,然后查看内存芯片,攻击者可以立即获得原计算机的磁盘加密钥。如果计算机重新启动并立即加载特定的操作系统,以倾倒内存内容,这种攻击方法可能有效。
冷启动的漏洞清楚地指出,存储在内存中的数据很容易获得。同样的方法可以访问存储在内存中的信用卡数据,但报告中提到的内存捕获技术不需要物理访问。
通过注入已经运行的过程来隐藏自己或直接在机器上运行,今天的内存捕获软件可以避免大多数安全保护和访问敏感的信用卡数据。一旦进入系统,内存捕获软件可以阅读密码、加密钥、信用卡、社会保障号码或其他类型的数据,很容易转换为现金。然后,内存捕获软件要么将这些敏感数据保存到当地系统,要么通过各种方式直接发送给罪犯。即使偷来的信用卡数据是加密的,如果攻击者可以使用类似的方法来捕获加密的私钥,他仍然可能成功。
因此,内存捕获软件以许多不同的方式危害企业的信息安全也就不足为奇了。这种恶意软件可以通过直接阅读内存,甚至在离线条件下阅读交换文件(硬盘上的虚拟内存)来收集数据。无论内存捕获软件如何获取数据,为了成功执行,攻击必须使用弱配置或允许有足够权限的可执行文件来阅读内存。从整个内存中读取数据缓慢、低效、易于检测,但它仍然是一个潜在而有效的攻击。
可攻击的软件是内存捕获软件的另一个可能目标。更具体地说,此类恶意软件攻击内存管理中的软件和敏感数据。这种方法比阅读整个内存更有效,因为它只需要将数据写入内存的位置,而不是阅读数十亿字节的内存。此外,这种内存捕获方法更难检测到,但也对攻击者有害。
这些类型的攻击对企业的威胁是现实的,但只针对那些有价值的目标。内存捕获的恶意软件比通常看到的恶意软件更熟练,因为作者需要根据特定的软件或环境进行定制。
对于企业信息安全主管,为了防止内存抓取攻击,确保对组织有重要价值的对象(通常是存储敏感数据或容易访问的设备),最好采取有效的预防和检测措施。显然,首先需要识别这些对象,然后评估现有的保护措施是否足够或需要新的技术或过程。
企业的一些软件软件不应以管理员权限或通常具有系统访问的高权限运行。对于攻击者来说,访问内存中敏感数据最简单的方法是使用管理员权限已经运行的软件。其次,敏感数据的存储位置应以详细系统列表的形式保持最新。随着时间的推移和变化,确保适当的安全措施是很重要的。无论如何,在当今信息技术的快速变化中,我们需要提供自己的保护意识,并采取一些适当的预防措施。