McAfee 研究揭露POS攻擊背後的黑市交易機制

去年美國接連傳出連鎖商店因為POS系統遭入侵而導致大規模資料外洩，對此ＭcAfee Labs發佈《2013年第四季McAfee實驗室威脅報告》揭露相關黑市交易機制指出，駭客利用的是網路黑市購得的現成攻擊工具，攻擊得手之後也將所竊得的資料放到特定的網路黑市「數位銷贓」。

去年12月美國接連傳出因POS攻擊而造成的資料外洩案，首先傳出Target上億筆顧客信用卡資料被竊，成為史上資料失竊規模最大的案件。之後陸續有Neiman Marcus、White Lodging、Michael Stores等零售連鎖商店也遭到類似的攻擊。McAfee報告指出，分析這些知名案件的POS惡意程式發現，駭客使用的並不是什麼高明的技術，而是從網路黑市買來，專用於POS攻擊的現成工具。

McAfee研究指出，駭客在購買現成的攻擊工具之後，再針對鎖定的攻擊目標進行客製化，修改相關的攻擊程式。McAfee以Target為例，這家零售商使用的是非常客製化的POS應用，因此駭客根本無從「離線」了解其系統，但只要拿BlackPOS這套惡意程式做一些客製化的修改就能夠滲透進Target的系統環境。McAfee研究人員表示，BlackPOS是一套相當容易修改的現成攻擊組程式，駭客並不需要很多程式能力或對惡意程式有什麼了解就能夠修改。實際研究也發現，相關的Active Directory域名、使用者帳號，IP位址等資訊都被直接寫入針對Target的客製化程式中。

McAfee實驗室也追蹤這些被竊的信用卡號碼與個人資料如何被駭客販售的情形，遭外洩信用卡號碼被竊賊以一次100萬到400萬筆不等的方式拿到網路黑市批量銷售。Lampeduza Republic就是一個相當受歡迎的交易市集，甚至還可使用虛擬貨幣包括比特幣做交易買賣。

McAfee實驗室資深副總裁Vincent Weafer指出，不論是消費者或企業都面臨這些網路罪犯的威脅。而對安全人員而言，網路攻擊工具的商業化，攻擊行動規模之廣，被竊顧客資料數位銷贓的容易度，都象徵著「網路犯罪即服務」時代的來臨。

除了對POS攻擊的研究之外，McAfee 實驗室也發現，在2014年獲得數位簽章的惡意二進位程式碼樣本數量較前一年同期成長三倍來到800多萬，單是第四季就有230萬支應用，較前一季成長52%。

惡意程式碼取得數位憑證，獲得簽章後，即可確保其執行無礙。McAfee解釋，除了駭客竊取、購得及濫用憑證等因素，惡意程式取得簽章最主要原因是企業濫用內容遞送網路(CDN)，允許開發人員將程式或連向外部應用的URL上傳，並包裹在已獲得簽章的安裝器之中所致。McAfee 表示，取得數位簽章的惡意程式大量增加，最終會導致長期以來為人信賴的數位簽章憑證機機(certificate authority, CA)公正性不保。

其他的研究發現還包括2013年行動惡意程式樣本達247萬個，第四季有74.4萬個，較2012年同樣成長197%。勒索軟體樣本在本季成長一倍來到100萬個，可疑URL成長70%。2013年McAfee蒐集到的主開機記錄（Master Boot Record, MBR）相關的惡意程式樣本達220萬個。總計該實驗室每分鐘發現200隻新惡意程式，平均一秒超過3隻。（編譯/林妍溱）