近日,趨勢科技 (中國區(qū)) 網(wǎng)絡安全監(jiān)測實驗室(CRTL)最新監(jiān)測到數(shù)起針對國內(nèi)金融行業(yè)的APT(Advanced Persistent Threat,高級持續(xù)性威脅)攻擊事件����。該威脅變化多端,會導致用戶重要信息數(shù)據(jù)泄露�����。趨勢科技通過檢測BKDR_CORUM家族���、TSPY_GOSME家族��、TROJ_JNCTN家族及China Pattern通用檢測TROJ_GENERIC.APC等惡意病毒�,目前將此威脅命名為“證券幽靈”����。趨勢科技特別提醒金融行業(yè)用戶需要做出應急響應,評估內(nèi)部網(wǎng)絡風險��,謹防韓國金融行業(yè)APT攻擊事件的“翻版”���。
CRTL研究表明���,“證券幽靈”惡意威脅擁有了更加典型的APT攻擊特點,瞄準銀行�、證券等更具攻擊價值的企業(yè)網(wǎng)絡,并主要針對IT管理人員的終端��、域控���、DNS服務器��、網(wǎng)絡安全和業(yè)務管理軟件服務器����。其感染途徑可以通過網(wǎng)絡共享�、或由其他病毒及被篡改后的第三方軟件傳播釋放,但“證券幽靈”進入企業(yè)內(nèi)網(wǎng)后不會立即大規(guī)模傳播����,反而會潛伏下來,并尋找其他更具價值的數(shù)字信息和替代者����。
趨勢科技(中國區(qū))技術總監(jiān)蔡昇欽表示:“該威脅極具‘智能’,針對金融行業(yè)IT管理人員和網(wǎng)絡服務節(jié)點服務器進行攻擊����,并尋找網(wǎng)內(nèi)軟件的漏洞進行全網(wǎng)控制�。由于遭受攻擊的人員和服務器節(jié)點權限極大����,病毒攻擊的特征將被視為正常通信和授權操作,其后續(xù)可能造成的數(shù)字資產(chǎn)泄露危害不可估量����。一旦全面觸發(fā),金融用戶將面臨歷史上從未遭遇過的沉重打擊��。已經(jīng)部署趨勢科技TDA的用戶�����,將能從威脅預警和趨勢科技報告信息中第一時間發(fā)現(xiàn)該病毒的網(wǎng)絡惡意通信行為和感染源����。而其他企業(yè),特別是證券和基金類公司��,建議管理員應立即啟動IT風險管理流程���、有針對性的排查此次APT攻擊釋放的惡意程序代碼��。”
據(jù)了解��,該病毒“藏匿頗深并比較狡猾”�,還具有:隱藏文件真正路徑、為惡意DLL文件找“替身”���、惡意軟件完整性監(jiān)測、偽造軟件版本信息���、免殺和清除日志等特性���。此前,趨勢科技在事前通過TDA 的啟發(fā)式偵測與沙盒動態(tài)分析提示���,監(jiān)測出韓國APT攻擊相關郵件中的惡意附件�����,并使用定制化防御策略�����,幫助趨勢科技的韓國客戶事先發(fā)覺并采取防護措施���,成功抵擋了黑客攻擊����。而趨勢科技TDA防御體系��,也將會為其在國內(nèi)金融用戶防范APT過程中扮演相同的角色���。
趨勢科技作為全球服務器安全����、虛擬化及云計算安全領導廠商�����,已經(jīng)攜手國內(nèi)金融客戶成功攔截多次APT攻擊的趨勢科技���,幫助用戶擺脫了以特征碼為主的傳統(tǒng)安全產(chǎn)品的局限性�����。而針對“證券幽靈”惡意威脅��,用戶也不必在后面“苦苦追趕”�。趨勢科技建議:使用趨勢科技防病毒客戶端的客戶����,升級到最新病毒碼�,便能自動清除目前該惡意軟件的所有變種����。而未采用TDA產(chǎn)品和非趨勢科技防病毒客戶端的用戶, 需要針對以下關鍵信息進行“自查”,或者可以使用趨勢科技提供的ATTK掃描病毒并收集信息����,尋求趨勢科技工程師的幫助����。
最新一輪的金融行業(yè)APT攻擊威脅洶涌襲來,趨勢科技提供的以下技術細節(jié)可以幫助用戶查找“證券幽靈”存在的可能性:
一���、部分特征表現(xiàn)
● 利用反向連接技術連接到控制服務器的443端口���,實現(xiàn)后門功能;
● 使用安全軟件,在目標計算機上創(chuàng)建用戶���,并打開共享��,再利用遠程計劃任務啟動;
● 通過Winlogon的Notify和Service方式自啟動����,部分變種會替換系統(tǒng)的DLL;
● 在文件系統(tǒng)中創(chuàng)建Junction,將系統(tǒng)DLL復制成和惡意DLL同名����,用于混淆用戶;
● 在注冊表中創(chuàng)建briefcase.server的鍵值,用于記錄狀態(tài)���、配置和備份信息�。
二�、如何判斷是否受到威脅:
● 使用趨勢科技TDA能有效發(fā)現(xiàn)內(nèi)網(wǎng)中被入侵的計算機和病毒的網(wǎng)絡行為;
● 目前我們發(fā)現(xiàn)感染該惡意軟件的主要是金融行業(yè)的用戶,特別是證券和基金公司����。建議這些公司進行檢查;
● 對網(wǎng)絡流量進行分析,發(fā)現(xiàn)異常的網(wǎng)絡流量����,特別是非工作時間的網(wǎng)絡訪問或者周期性地訪問相同的網(wǎng)站;
● 對內(nèi)網(wǎng)的通訊進行分析,找到異常的端口通訊;
● 對域登錄記錄進行分析�����,找到異常的登錄或者密碼猜測行為;
● 如果懷疑受到威脅,建議將檢查重心放在服務器網(wǎng)段和對服務器有管理權限的IT人員���。特別是域控���、文件服務器、安全軟件服務器等;
● 檢查計算機是否存在HKCR\Briefcase.server注冊表項目;
● 檢查系統(tǒng)中是否有被重命名的系統(tǒng)文件��,是否有異常的reparse point到System32目錄��。
