一種新型惡意軟件正逐漸風(fēng)行起來，它能從系統(tǒng)的隨機(jī)訪問存儲(chǔ)器（RAM）中捕獲數(shù)據(jù)。在Verizon公司最近的數(shù)據(jù)泄露報(bào)告中曝光的RAM抓取技術(shù)，代表了一種相對(duì)新穎的針對(duì)信用卡數(shù)據(jù)攻擊方法。

然而內(nèi)存抓取并不是一種全新的技術(shù)。曾在2008年黑客大會(huì)中使用的冷啟動(dòng)攻擊就是RAM抓取技術(shù)的另一種形式。對(duì)于那些不記得這些的人，研究員們演示了如何通過突然切斷計(jì)算機(jī)的電源使得計(jì)算機(jī)的內(nèi)存保留一份最近的內(nèi)存鏡像近乎完美的拷貝，從而繞過磁盤加密。只需簡單地冷卻并拆下內(nèi)存芯片并將其放入另一臺(tái)計(jì)算機(jī)，然后查看內(nèi)存芯片，攻擊者瞬間就可以獲得原有計(jì)算機(jī)的磁盤加密密鑰。如果計(jì)算機(jī)重啟并且立刻載入用來傾倒內(nèi)存內(nèi)容的特定操作系統(tǒng)，即使不拿走內(nèi)存，這種攻擊方法也可能奏效。

這種冷啟動(dòng)的漏洞清楚地指出了存儲(chǔ)在內(nèi)存中的數(shù)據(jù)是唾手可得的。同樣的方法可以用來訪問存儲(chǔ)在內(nèi)存中的信用卡數(shù)據(jù)，但是報(bào)告中提到的內(nèi)存抓取技術(shù)并不需要物理訪問。

通過注入已運(yùn)行的進(jìn)程來隱藏自身或者直接在機(jī)器上運(yùn)行，當(dāng)今的內(nèi)存抓取軟件能夠躲過大多數(shù)的安全防護(hù)并訪問敏感的信用卡數(shù)據(jù)。一旦進(jìn)駐系統(tǒng)，內(nèi)存抓取軟件能讀取密碼、加密密鑰、信用卡、社會(huì)保障編號(hào)或者是容易轉(zhuǎn)換成現(xiàn)金的其它類型數(shù)據(jù)。接著內(nèi)存抓取軟件要么保存這些敏感數(shù)據(jù)到本地系統(tǒng)或者通過各種方法直接發(fā)送給犯罪分子。即使偷取的信用卡數(shù)據(jù)是加密的，但如果攻擊者能夠使用類似之前描述的方法抓取到用于加密的私鑰，那么他仍然可能得逞。

企業(yè)中的內(nèi)存抓取軟件

因此內(nèi)存抓取軟件能夠以許多不同的方式危害企業(yè)的信息安全就不足為奇了。通過直接讀取內(nèi)存甚至是在離線的情況下讀取交換文件（硬盤上的虛擬內(nèi)存）這種惡意軟件都可以收集到數(shù)據(jù)。無論內(nèi)存抓取軟件如何獲得數(shù)據(jù)，為了執(zhí)行成功，這種攻擊必須要么利用弱配置或者讓有足夠權(quán)限的可執(zhí)行文件來讀取內(nèi)存。從整個(gè)內(nèi)存中讀取數(shù)據(jù)是緩慢、低效的并且容易被偵測到，但它仍然是一種潛在有效的攻擊。

可被攻擊的軟件是內(nèi)存抓取軟件的另一個(gè)可能的目標(biāo)。更具體地說，此類的惡意軟件攻擊內(nèi)存管理方面的軟件和敏感數(shù)據(jù)。比起讀取整個(gè)內(nèi)存這種方法會(huì)更有效，因?yàn)橹恍枰O(jiān)控程序?qū)懭霐?shù)據(jù)到內(nèi)存的位置而不是讀取數(shù)十億字節(jié)的內(nèi)存。此外這種內(nèi)存抓取方式更難被偵測到，但是對(duì)于攻擊者來說也有不利之處。

這些類型的攻擊給企業(yè)帶來的威脅很現(xiàn)實(shí)，但只是針對(duì)那些價(jià)值高的目標(biāo)而言。編寫內(nèi)存抓取的惡意軟件比起通?？吹降膼阂廛浖蟾叩氖炀毸?，因?yàn)榫帉懻咝枰鶕?jù)特定的軟件或者環(huán)境來定制。

對(duì)于企業(yè)的信息安全主管來說為了防范內(nèi)存抓取攻擊，保障對(duì)于組織具有重要價(jià)值的對(duì)象（通常是那些存儲(chǔ)敏感數(shù)據(jù)或者是很容易就可以被訪問到的設(shè)備），最好采取有效的預(yù)防和偵測措施。很明顯首先需要辨識(shí)出這些對(duì)象，然后評(píng)估以判斷現(xiàn)有的防護(hù)措施是否充足或是需要新的技術(shù)或過程。

通過恰當(dāng)?shù)牧鞒虂碜凡闈撛诘膬?nèi)存抓取攻擊（或就此而言包括任何攻擊）同樣重要。如果網(wǎng)絡(luò)監(jiān)控系統(tǒng)發(fā)現(xiàn)高價(jià)值的對(duì)象例如，某個(gè)固定銷售點(diǎn)的終端開始與企業(yè)內(nèi)網(wǎng)或因特網(wǎng)中的新系統(tǒng)開始通信，那么這時(shí)的告警不僅應(yīng)該引起安全職員的注意，同樣需要迅速地進(jìn)行調(diào)查?？焖俚卣{(diào)查潛在的非法通信有助于在早期就發(fā)現(xiàn)嚴(yán)重的事故并且限制或預(yù)防破壞或數(shù)據(jù)丟失。

同樣為了防止內(nèi)存抓取攻擊，軟件不應(yīng)該以管理員權(quán)限或者是通常具有系統(tǒng)訪問的高權(quán)限運(yùn)行。對(duì)于攻擊者來說訪問內(nèi)存中敏感數(shù)據(jù)最容易的途徑就是利用以管理員權(quán)限已經(jīng)運(yùn)行的軟件。其次存放敏感數(shù)據(jù)的位置應(yīng)該以詳細(xì)的系統(tǒng)清單的形式保持最新。信息基礎(chǔ)設(shè)施隨著時(shí)間增長和發(fā)生變化，所以確保恰當(dāng)合適的安全措施是重要的。

內(nèi)存抓取并不是全新的技術(shù)，但是最近的發(fā)展代表了之前攻擊的演變并且會(huì)在今后持續(xù)地進(jìn)行。企業(yè)必須通過實(shí)施上述的一些最佳實(shí)踐來不斷地提高自身的防護(hù)以保證盡可能有效地保護(hù)敏感數(shù)據(jù)。

【編輯推薦】

1. 微軟IE被曝“邏輯缺陷”漏洞
2. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎(jiǎng)金與0day引入入勝
3. Google的云計(jì)算，你真的安全嗎？
4. 自己動(dòng)手打造公司內(nèi)網(wǎng)監(jiān)管利器
5. 利用HTTP-only Cookie緩解跨站點(diǎn)腳本攻擊