多數(shù)木馬都是本地捕捉和存儲數(shù)據(jù)；將數(shù)據(jù)捕捉和發(fā)送到遠程地點；或者激活遠程訪問或控制被感染的系統(tǒng)。竊取信譽對于這些犯罪分子來說輕而易舉，就像他們竊取企業(yè)未經(jīng)防范的數(shù)據(jù)一樣簡單。不過如果犯罪分子目前竊取了大量的數(shù)據(jù)，那就很難在不被偵測到的情況下將這些記錄發(fā)送出去。因此現(xiàn)在的犯罪分子開始使用"捕捉和存儲"的變種方式。

攻擊者通常都偏好那種可以竊取支付卡數(shù)據(jù)和私人身份驗證信息的方法，因此經(jīng)常輸出包含數(shù)百萬條記錄的大型文件就是他們下手的目標。當然在受害者的系統(tǒng)上存儲有效載荷也會為攻擊者制造某種挑戰(zhàn)，即如何找回這些存儲數(shù)據(jù)。為了解決這個問題，攻擊者典型的做法是打開一個后門來返回未被偵測的系統(tǒng)。

法規(guī)遵從推動木馬偵測市場
企業(yè)目前在他們的業(yè)務流程中遵循PCI DSS標準。這種標準引進了加密技術和各種保護數(shù)據(jù)不受犯罪分子侵襲的加強型防御措施。企業(yè)已經(jīng)開始將不太敏感的數(shù)據(jù)作為常規(guī)業(yè)務運營的組成部分來存儲，而對要保留的敏感數(shù)據(jù)進行加密。犯罪分子當然也不會坐以待斃，無論企業(yè)采用何種商業(yè)模式，他們都會改變攻擊方式來與之相適應。

傳統(tǒng)上說，我們都是講數(shù)據(jù)作為文件存儲在硬盤上。無論如今的企業(yè)如何部署運營，數(shù)據(jù)都可以從RAM或頁面文件或未分配的磁盤中刪除。這就意味著在企業(yè)目前所需的保護措施中存在鴻溝。

如今要創(chuàng)建能分析RAM的木馬，需要考慮的因素有知識，時間和金錢。不會有外行人去做這項工作。你會發(fā)現(xiàn)是專業(yè)的木馬編程人員為了實施有組織的犯罪行為來專門研發(fā)木馬程序。大量有價值的數(shù)據(jù)從某方面驅動著木馬編程人員去開發(fā)新的木馬程序來實施犯罪目的，而且他們想方設法編譯不被目前防病毒引擎?zhèn)蓽y到的木馬代碼。這是個很嚴肅的話題，特別是當你看到木馬的新型變種能夠繞過最新配置的加密系統(tǒng)時，問題的嚴重性可想而知。

不僅是企業(yè)的變化推動了新的木馬變種，而且黑市本身也導致了這種變化。因為有如此眾多的信用卡信息能從市場上輕易獲取，因此價格也隨之下降，犯罪分子不得不研發(fā)新的方法來收集更具價值的數(shù)據(jù)來維持盈利。在信用卡數(shù)據(jù)方面，獲取與磁條數(shù)據(jù)相關的PIN密碼也不是什么新鮮話題了。內存可擦除技術也處在了這種新發(fā)掘金礦的前沿。

面對木馬程序的復雜性，你該如何保護你的數(shù)據(jù)？
我們都配置了常規(guī)法規(guī)遵從標準所要求的安全保護措施。即使是這樣，我們知道犯罪分子還是會想方設法繞過所有我們設置的屏障。了解防火墻，入侵檢測系統(tǒng)，防病毒，反間諜和其他各種終端解決方案現(xiàn)在已經(jīng)不像曾經(jīng)那樣有效了，是時間真正檢查一下我們的業(yè)務流程，看看是否有辦法來完成這些任務。

yajing