POS 악성 코드, 소매업에서 항공 · 철도 · 자동차 산업에 확대

추수 감사절과 그 다음날의 Black Friday이지나 미국에서는 크리스마스를위한 쇼핑 시즌에 돌입했습니다. 앞으로의 계절은 여행이나 가족이나 친구와의 교류, 여행, 그리고 쇼핑을 즐기는 사람도있을 것입니다. 또한, TV에서 즐거운 겨울 방학 영화를보기에 적합하다. 80 년대 Steve Martin 주연의 코미디 영화 '대재앙 PTA (1987 년)」(원제 : Planes, Trains and Automobiles)처럼, POS (판매 시점 관리) 시스템을 노린 공격이 소매에서 항공 철도 · 자동차 산업으로 확대하고있는 것이 확인되고 있습니다.

■ POS 악성 코드 위협의 주류로
2013 년 말까지 미국 주요 소매 "Target"당시 사상 최대의 정보 유출 사례 가 발생한 것은 아직도 기억에 새롭다 것입니다. 이 공격은 "BlackPOS"가 이용되었습니다. 2014 년 들어 POS 악성 코드 위협의 주류가 대기업에서 중소까지 다양한 상업을 공격했습니다. 2014 년은 또한, 바이러스가 진화 한 것을 확인 한 해이기도합니다. 트렌드 마이크로는 새로운 POS 악성 코드 가 연말 성수기에 맞춘 것처럼 나타난 것을 확인하고 또한 POS 시스템을 노리는 사이버 범죄자가 사용하는 도구 에 대해서도 조사했습니다.

POS 악성 코드의 대상은 지금까지 소매업 등의 상업에 거의 한정되어 있었지만, 현재는 상업 시설에서 공항, 기차역, 주차까지 범위를 확대하고있는 것 같습니다.

■ 항공
보안 기업 "Census"올해 8 월에 개최 된 DEFCON2014에서 여행객을 겨냥한 POS 시스템의 공격에 대한 흥미로운 연구 논문 을 발표했다. Census는 POS 시스템의 정의를 공항의 체크인 카운터, 유료 Wi-Fi 서비스,화물 위치 정보까지 확대했습니다. 이 조사는 그리스 공항에서 실행되었습니다. 조사 대상으로는 공항 터미널의 공공 공간의 중심에있는 매장입니다. 이용객이 매장에서 Wi-Fi 서비스를 구입하거나 IP 전화를 걸고 비행 시간을 알아보기 위해 티켓을 스캔 할 수 있습니다. Census에 따르면,이 점포는 인터넷, 누구나 사용할 수있는 USB 포트 관리자 권한 위생에 문제가있는 키보드가 있고 보안 제품이 설치되지 않았습니다.

Census 자신의 악성 프로그램을 만들고 간단한 Web 공격을 이용하여이 점포를 감염했습니다. 항공사는 바코드 탑승권 (Bar Coded Boarding Pass, BCBP)를 사용하고 있으며, 거기에 승객의 정보가 포함되어 있습니다. BCBP 사양은 간단한 Google 검색에서 확인할 수 있습니다. 인쇄 한 티켓이든 모바일 단말기에서 QR 코드이든 스캔 된 BCBP 정보는 점포가 가지는 RAM에서 해독됩니다. BCBP 형식 알면, 신용 카드 등의 정보를 절취하는 POS 악성 코드가 사용하는 동일한 기술을 사용하여 점포의 RAM에서 정보를 수집 할 수 있습니다. Census가 실시한 실험은 공격자가 정보를 절취하는 POS 악성 코드를 쉽게 매장에 침입당하는 것을 증명했습니다.

■ 철도

보안 업체 "IntelCrawler '는 올해 11 월말"d4re | dev1 | (daredevil) "라는 POS 맬웨어에 대한 블로그 기사 를 공개했습니다. 이 POS 악성 코드는 "대중 교통 시스템 (Mass Transit System, MTS) '을 노 렸습니다. 이 악성 프로그램은 원격으로 관리 및 업데이트 RAM 정보의 수집, 키 입력 조작 정보의 수집 등의 기능을 제공합니다. IntelCrawler는 이탈리아 사루디냐 대중 교통 " ARST "의 승차권 판매기가 공격당한 것을 분명히했습니다. 이 공격자는 네트워크 떨어진 PC를 원격 조작하는 "Virtual Network Computing (VNC)"를 이용하여 승차권 판매기에 액세스했습니다. 감염된 티켓 판매기에서 버스 나 열차의 승차권을 구입 한 승객은 그 지불 카드의 정보를 수집하기 위해 쉽게 먹이입니다. 올해 9 월에 확인 된 POS 악성 코드의 하나 " NewPosThings "는 침해 한 시스템에서 VNC 암호를 절취하려고 시도했습니다."BrutPOS」나 「Backoff"와 같은 다른 POS 악성 코드는 Microsoft의 " 원격 데스크톱 프로토콜 (RDP) "을 이용하여 침해 된 시스템에 액세스했습니다.

■ 자동차
11 월말, 주차 서비스를 제공하는 미국 기업은 자사의 17의 주차 시설에있는 지불 처리 시스템에 침입이 있었다는 것을 분명히했습니다. 타사 업체가이 주차 시설의 지불 카드 시스템을 관리하고 있으며, 공격자는이 업체의 원격 액세스 도구를 이용하여 지불 처리 시스템에 접속했습니다. 이렇게되면 공격자가 주차 시설에서 모아진 지불 카드 정보를 절취하는 악성 프로그램을 설치했습니다. 이 업체는 원격 액세스에 두 요소 인증을 사용하고 있지 않았기 때문에 공격자가 시스템에 침입하여 공격하는 것은 비교적 용이했다. 피해의 범위는 미국 전역에 퍼져 있으며, 시카고, 클리블랜드, 에반 스톤, 필라델피아, 시카고되어 있습니다.

■ 트렌드 마이크로의 견해
위의 사례에 근거한 당사의 견해는 다음과 같습니다.

• 사이버 범죄자들은​​ RAT과 RDP, VCN 등 원격으로 조작 할 수있는 기능과 POS 악성 코드에 결합하여 결제 기능과 전자 서비스 기능이있는 기기에 침입한다.
• 지불 카드의 정보 처리를 할 인터넷에 연결된 모든 장비는 장소를 불문하고 공격의 대상으로 간주된다. 사용자는 공항이나 기차역 주차장에있는 전자 서비스를 제공하는 기기가 다른 기기와 마찬가지로 보안을 가진다고 생각해서는 안된다.
• 모두가 이어질 세계 보안 대책도 경계를 넘는 필요가있다. 그 책임은 일부 주요 산업이 담당하게된다.장비 제조업, 서비스업, 은행 및 신용 카드 회사는 고객을 보호 할 책임이있다.

POS 악성 코드에 대한 자세한 정보와 대책 내용은 당사의 리서치 페이퍼도 참조하십시오. " POS 시스템에 대한 공격 소매 · 서비스 업계에 위협 "는 소매업과 서비스업의 POS 시스템을 노리는 위협에 대해 다루고 있습니다. 또한 " PoS RAM scraper malware : Past, Present, and Future (영문) "도 함께 참조하십시오.

참고 기사 :

• " Planes, Trains & Automobiles - Are You Safe From PoS Malware Anywhere? " 
  by Numaan Huq (Senior Threat Researcher)