现在还不清楚具体哪些恶意软件的变体被用于最近的攻击中，也不清除它们是如何被植入的。然而在2014年1月初，美国计算机应急准备小组(US-CERT)针对POS系统发布了一个关于内存抓取恶意软件的警报，其中提到了多款近期活跃的恶意软件，这些恶意软件可搜索出特定POS软件相关进程的内存转储文件，从而盗取支付卡数据。

感染载体

那么犯罪分子是如何将内存抓取软件植入到这些主要零售商的POS系统中的呢?当零售商的POS设备和系统联网时，原始感染源可能已经通过以下传统方法植入到零售商的网络中：公司员工在公司网络中访问电子邮件中的恶意链接或附件，或攻击者利用远程访问软件中的薄弱认证证书。

一旦企业网络遭到破坏，攻击者就可能将恶意软件转移到POS网络和终端设备上。由于POS网络没有与其他业务网络进行隔离，因此其他业务网络也很容易受到破坏。

POS保护措施

为了防范未来内存抓取软件或其他针对POS系统的攻击，美国计算机应急准备小组(US-CERT)建议系统所有者和经营者采取以下6项最佳措施：

· 为POS系统设定更复杂的密码，并经常更改出厂默认设置

· 更新POS软件应用，并以同样的方式更新并修补其他业务软件，以减少暴露出 来的漏洞

· 安装防火墙以保护POS系统，并将其与其他网络隔离

· 使用杀毒软件，并时刻保持杀毒软件的更新

· 限制从POS系统计算机或终端访问互联网，防止意外接触到安全威胁

· 禁止远程访问POS系统

企业还应该考虑其他对策以增强保护级别，从而防止恶意软件的感染，而这些感染源正是最常见的攻击发起点。对于犯罪分子来说，只要稍微对恶意软件代码进行调整，便可绕过防病毒特征检测，从而对企业网络造成破坏。Check Point ThreatCloud Emulation可在恶意文档进入网络前对其进行识别并隔离，从而杜绝意外感染的发生。

Check Point威胁仿真可以审查下载的文件和常见的电子邮件附件，如Adobe PDF文件和Microsoft Office文件，从而预防威胁。可疑文件在威胁仿真软件的沙盒中打开，并同时受到监控，是否出现异常的系统行为，包括异常的系统注册表变更、网络连接或系统进程 – 提供文件行为的实时评估。如果发现是恶意文件，则将其阻塞在网关内联。如果发现新签名，会立即发送给Check Point ThreatCloud?，并分发给Check Point的网关，以自动阻止新的恶意软件。

总而言之，内存抓取不仅对零售业构成威胁，还对从休闲和餐饮再到金融和保险业务领域等任何涉及到大量用户支付卡处理的业务构成威胁。因此，经常使用POS设备的组织应该仔细检查其网络是否正在遭受内存抓取软件的威胁。

(责任编辑：)