Zum Inhalt springen
Sicherheit

Memory-Scraping und Keylogging

Autor:Stefan Maierhofer, Regional-Vice-President Central & Eastern-Europe bei Palo Alto Networks • 15.7.2015 • ca. 1:10 Min

Inhalt
  1. Cyberangriffe am Point-of-Sale verhindern
  2. Memory-Scraping und Keylogging
  3. Effektive Maßnahmen
  4. Bedrohungen erkennen und abwehren
  5. Sicherheit von A-Z
  6. Vorteile integrierter Sicherheitsplattformen

Vor einigen Monaten hat Unit 42 eine neue Malware-Familie entdeckt, die ganz gezielt PoS-Systeme im Visier hat, und „FindPOS“ benannt. Im Verlauf der Analyse wurden insgesamt neun Varianten davon entdeckt. Die PoS-Malware führt Memory-Scaping durch, um Daten aufzuspüren, POST-Anfragen über http zu exfiltrieren und in einigen Fällen auch Tastatureingaben aufzuzeichnen. Die „FindPOS“-Familie nutzt viele gängige Techniken aus früheren Malware-Familien, zielt aber speziell auf Windows-basierte PoS-Terminals ab.

Memory-Scraping ist eine Technik, die bei der Mehrzahl der PoS-Malware-Familien in den vergangenen Jahren entdeckt wurde. Das Konzept ist einfach: Der Speicher der laufenden Prozesse auf einem PoS-Terminal wird ausgelesen, um Daten aufzuspüren. Wenn eine Karte auf einem PoS-Terminal durchgezogen und die Transaktion verarbeitet wird, bleiben die Kartendaten oft für einen kurzen Zeitraum unverschlüsselt im Speicher. Angreifer nutzen diese Schwäche, um Daten auszulesen. Eine übliche Technik zur Erhöhung der Leistung der Memory-Scraper ist das Blacklisting einer Liste der häufigsten Prozessnamen wie explorer.exe, Isass.exe, crss.exe und weiteren. Alternativ nutzen einige Malware-Familien einen Whitelisting-Ansatz, bei dem nur bestimmte Prozessnamen ins Visier genommen werden.

Die Exfiltration bei „FindPOS“ erfolgt über HTTP-POST-Anfragen. Eine Anzahl von fest kodierten Domänen wird für jede Probe ausgebildet, oft wechselnd zwischen „FindPOS“-Varianten. Diese Anfragen werden alle zwei Minuten durchgeführt. Zusätzlich zur Datenexfiltration hat „FindPOS“ die Fähigkeit zum Download/Ausführen weiterer Malware. Ab Version 5.90 enthält „FindPOS“ einen Keylogger. Da viele Magnetkartenleser eine Tastaturvorrichtung emulieren, integrieren POS-Malware-Autoren diese Funktionalität daher in ihre Malware-Familien. Neben dem Sammeln von Track-Daten hat der Keylogger die Fähigkeit, Benutzernamen, Passwörter oder andere sensible Daten auf dem infizierten Endgerät zu sammeln.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+
Nächste Seite
1 2 3 4 5 6
Das könnte Sie auch interessieren
Lagerlogistik
Weihnachten ohne Geschenke Diese Einzelhändler haben die größten Lieferprobleme
Internet-Konkurrenz Einzelhändler wehrt sich gegen Beratungsdiebstahl
Freie Ladenöffnungszeiten Einzelhändler wollen Gleichstellung mit Onlinehandel
Deloitte-Studie Amazon stößt in Top Ten der größten Einzelhändler vor
Trendausblick Der Handel von morgen
Studie des Institus für Handelsforschung Der lokale Einzelhändler ist beliebt
Web-Application-Attacks Einzelhändler deutlich häufiger betroffen als andere Branchen
Umsatzchancen für Einzelhändler über Ebay-Marktplatz
Mehr passende Artikel
Baukasten
Handel im digitalen Wandel Digitalisierung um jeden Preis?
Heino Deubner, printer4you.com
Gastkommentar Ist der Online-Handel krank?
Menschen
Estos Neue Märkte, neue Sprache
Sicherheit
Managed Security Services Managed Services zum Schutz gegen Cyberbedrohungen
Cloud Channel
Cloud-Computing Wie sich der Channel-Markt durch die Cloud verändert
Weiter zur Startseite