香港有零售系統伺服器疑受 POS 惡意程式感染

改圖轉載自 "System recepcyjny HORECA13" by Travelarz

發現香港有零售系統伺服器疑受 POS 惡意程式感染

過去 6 個月，保安服務供應商 FireEye [1] 及 ArborNetwork [2] 分別發表關於零售系統（point of sale 或 POS system）惡意程式的報告，當中提及有香港 IP 地址曾連接到 POS 惡意程式的「指揮伺服器」，表示這些 IP 地址上的電腦受 POS 病毒感染並被網絡罪犯控制。FireEye 的報告更指出名為「BrutPOS」的攻擊活動已透過惡意程式偷取付款卡資料。由於可能涉及財物損失，HKCERT 已把相關資料轉介警方跟進。

另有多部位於香港的電腦受感染成為殭屍電腦，被罪犯用作入侵零售系統。HKCERT 將會通知相關 ISP 有關資料。

近期發生的嚴重 POS 系統資料外洩

到底 POS 惡意程式可造成多慘重的損失？2013 年 11 月，美國大型連鎖零售商 Target，傳出正在調查資料被盜的消息 [3]。後來證實有 4 千萬個信用卡和扣帳卡帳戶受影響，及超過 1.1 億名顧客的個人及財務資料外洩 [5]。經調查發現惡意程式透過感染並潛入 Target 收銀處的 POS 系統，造成這次損失慘重的事故 [6]。事發後 6 個月，Target 的 CEO Gregg Steinhafel 需為此大規模資料外洩事故負責而請辭 [4]。

為什麼 POS 系統成為罪犯目標

自 Target 的外洩事故，POS 系統的保安引起很大關注。基於以下因素，網絡罪犯垂涎 POS 系統是理所當然的：

• 為了支援不同的付款方法，例如信用卡、EPS（即扣帳卡）、八達通（即非接解式智能卡），POS 系統已發展為一非常複雜系統，包括網絡功能，以連接各付款處理系統。這表示 POS 系統存在很多「攻擊面」，繼而產生不同形式的攻擊，例如有一類「記憶體括除（memory scraping）」惡意程式，專門讀取暫存在 RAM 而未被加密的信用卡資料。
• POS 系統加入很多付加功能，例如會員管理、庫存管理、連接不同付款處理系統的介面等，以支援不同業務需要。這表示 POS 系統除了儲存財務資料，還有個人資料。
• POS 系統被廣泛應用於不同行業如零售、餐飲、酒店、貨倉等。這表示 POS 系統已在廣泛地區安裝，並透過互聯網連接企業網絡。這同樣增加了「攻擊面」。

預防措施

• 大多數惡意程式包括 BrutPOS，都是透過暴力（brute force）攻擊測試系統是否使用預設帳戶名稱及密碼。例如 BrutPOS 先測試遠端桌面服務是否能透過預設帳戶名稱及密碼撞破，以開啟後門植入惡意程式。因此第一度防線為更改預設帳戶名稱及密碼，並停用或移除不需要的帳戶。
• POS 系統不應連接到公開的網絡，如供客人使用的 WiFi 連接點。POS 系統應與互聯網隔離，以減少「攻擊面」。
• 假如你的 POS 系統使用嵌入式 Windows，你可參考 Microsoft 的 POS hardening 指引：
  http://download.microsoft.com/documents/en-us/Protecting_Point_of_Sale_Devices-April_2014.pdf 

參考資料

1. BrutPOS: RDP Bruteforcing Botnet Targeting POS Systems, FireEye
2. [PDF] Dexter and Project Hook Break the Bank, Arbor Networks
3. Sources: Target Investigating Data Breach, KrebsOnSecurity
4. Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores, Target
5. A First Look at the Target Intrusion, Malware, KrebsOnSecurity
6. Target CEO resigns after data breach fallout, CNET