Offensive Scenario — POS systems. Το memory scraping σε POS
στοχεύει το μοναδικό σημείο όπου τα δεδομένα κάρτας υπάρχουν σε καθαρή μορφή: τη μνήμη του
τερματικού, τη στιγμή της συναλλαγής. Χωρίς P2PE, segmentation και application allow-listing, ένα
κακόβουλο process μπορεί να διαβάσει PAN/track data από τη RAM. Το ερώτημα για τη διοίκηση: είναι τα
POS σας θωρακισμένα ή απλώς «λειτουργικά»;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο δείχνει πώς ένα memory scraping σε POS εκμεταλλεύεται flat δίκτυο,
εκτεθειμένο RDP και απουσία hardening για να υποκλέψει δεδομένα κάρτας από τη μνήμη. Η Audax το
αξιολογεί ελεγχόμενα και χωρίς να συλλέγει πραγματικά δεδομένα καρτών, αποδεικνύοντας την έκθεση και
τα κενά ανίχνευσης/συμμόρφωσης.

Το επιχειρησιακό ρίσκο

Για έναν retailer με φυσικά καταστήματα, ένα POS memory scraping σημαίνει μαζική διαρροή
καρτών, παραβίαση PCI DSS, πρόστιμα, απώλεια δυνατότητας αποδοχής καρτών και σοβαρή
ζημιά φήμης. Επειδή επηρεάζει πολλά καταστήματα ταυτόχρονα, η κλίμακα είναι μεγάλη.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. External Remote Services (T1133): πρόσβαση μέσω εκτεθειμένου RDP/υπηρεσιών στα
    POS.
  2. Process Injection (T1055): πρόσβαση στη μνήμη της POS εφαρμογής.
  3. Data from Local System (T1005): ανάγνωση PAN/track data από τη RAM, εφόσον
    λείπει P2PE.
  4. Lateral Movement & Exfiltration (T1021.001/T1041): εξάπλωση στο flat VLAN και
    αποστολή δεδομένων — βήματα που η Audax τεκμηριώνει χωρίς πραγματικά δεδομένα.
Kali Linux που δείχνει POS τερματικά στο ίδιο VLAN με back-office, εκτεθειμένο RDP και απουσία P2PE ώστε τα δεδομένα κάρτας να βρίσκονται στη μνήμη.
POS στο ίδιο VLAN με back-office, εκτεθειμένο RDP, χωρίς P2PE: γιατί τα δεδομένα κάρτας μένουν εκτεθειμένα στη μνήμη — ελεγχόμενος έλεγχος.

Η ευπάθεια είναι στο endpoint hardening: χωρίς real-time protection και χωρίς application
allow-listing, μια μη υπογεγραμμένη διεργασία μπορεί να διαβάσει μνήμη:

Windows PowerShell που δείχνει ανενεργό real-time protection και απουσία application allow-listing σε POS endpoint, επιτρέποντας memory scraping.
Ανενεργό real-time protection και καθόλου allow-listing στο POS: το περιβάλλον όπου ένα memory scraper διαβάζει δεδομένα κάρτας από τη RAM.

Τι δοκιμάζει η Audax ελεγχόμενα

  • Internal penetration testing: segmentation των POS,
    έκθεση RDP, και μονοπάτια προς back-office.
  • Network penetration testing: απομόνωση του δικτύου POS
    και έλεγχος P2PE/tokenization.
  • ATT&CK emulation: ελεγχόμενη αναπαραγωγή συμπεριφοράς
    memory scraping για επικύρωση ανίχνευσης (χωρίς πραγματικά δεδομένα κάρτας).
  • SOC/SIEM/EDR effectiveness: αν το EDR ανιχνεύει process
    injection και ανάγνωση μνήμης στα POS.

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • process injection και ανάγνωση μνήμης άλλων διεργασιών στο POS·
  • μη υπογεγραμμένες/άγνωστες διεργασίες σε POS endpoints·
  • RDP logins και lateral movement μεταξύ POS/back-office·
  • ασυνήθιστη εξερχόμενη κίνηση από POS τερματικά·
  • συσχέτιση EDR + network και ο χρόνος μέχρι το πρώτο alert.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Initial Access T1133 External Remote Services Εκτεθειμένο RDP/υπηρεσίες στα POS.
Execution T1055 Process Injection Πρόσβαση στη μνήμη άλλων διεργασιών.
Collection T1005 Data from Local System Ανάγνωση PAN/track data από τη RAM του POS.
Lateral Movement T1021.001 Remote Services: RDP Μετάβαση μεταξύ POS/back-office στο ίδιο VLAN.
Exfiltration T1041 Exfiltration Over C2 Channel Αποστολή συλλεγμένων δεδομένων κάρτας.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένη έκθεση των POS και του περιβάλλοντος καρτών, αποδείξεις (anonymized screenshots/log
excerpts), τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί, αξιολόγηση σοβαρότητας και
αντιστοίχιση με business/PCI impact. Ενδεικτικοί δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
Host POS-LANE-07 (10.10.70.47) POS με εκτεθειμένο RDP.
Network flat VLAN με back-office Απουσία segmentation των POS.
Config P2PE/tokenization off Card data αποκρυπτογραφημένα στη RAM.
Endpoint RTP off, no AppLocker Επιτρέπει memory scraping.
Behavior process reading other RAM Σενάριο memory-scraping malware.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με έμφαση στα δεδομένα καρτών και τη συμμόρφωση, ιεραρχημένο remediation
roadmap (P2PE, POS segmentation, application allow-listing, EDR hardening), παρατηρήσεις ωριμότητας
ανίχνευσης, συσχέτιση με PCI DSS, και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • P2PE/tokenization ώστε τα δεδομένα κάρτας να μην βρίσκονται ποτέ σε καθαρή μορφή στη RAM·
  • αυστηρή segmentation των POS από back-office και internet·
  • application allow-listing και ενεργό EDR σε όλα τα POS·
  • κατάργηση εκτεθειμένου RDP, MFA σε διαχείριση·
  • ATT&CK emulation και purple teaming για
    επικύρωση ανίχνευσης, και retesting.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →