有南韓多家主要銀行、電視台及機構的前車可鑑,不少企業意識到進階持續性威脅(Advanced Persistent Threat,APT)滲透力高、破壞力強,一旦感染或爆發,影響嚴重而深遠。
事實上,APT愈趨精密,不少為有組織及有目標的針對性客制化攻擊,能輕易繞過或避開防火牆及保安軟件的偵測,防不勝防,因此市場上湧現了不少專門針對APT的保安方案。趨勢科技網絡安全監測實驗室(CRTL),近日便監測到數件針對國內金融行業的APT攻擊事件。該威脅多變,會導致用戶重要數據外泄。趨勢科技通過檢測BKDR_CORUM、TSPY_GOSME、TROJ_JNCTN,及TROJ_GENERIC.APC等惡意病毒家族,目前將此威脅命名為「証券幽靈」。趨勢科技特别提醒金融行業用戶須作應急措施,評估内部網絡風險,慎防韓國金融行業APT攻擊事件重演。
CRTL研究表明,「証券幽靈」威脅擁有典型的APT攻擊特點,瞄準銀行、証券等更具攻擊價值的企業網絡,並主要針對 IT 管理人員的終端、域控、DNS伺服器、保安,和業務管理系統伺服器。其感染途徑可通過網絡共享、其他病毒,及被篡改後的第三方軟件傳播,但「証券幽靈」進入企業網絡後,不會立即大規模傳播,反而會潛伏下來,並尋找其他更具價值的數據和替代者。
隱藏文件路徑 剷除日誌瞞惡意行為
趨勢科技技術總監侯振業表示,該威脅極具智能,針對金融行業 IT 管理人員和網絡服務節點伺服器進行攻擊,並尋找網内軟件的漏洞進行全網控制。由於受攻擊人員和伺服器的權限極大,攻擊的特徵將被視為正常通訊和授權操作,其可能造成的數據外泄危機實難以估計。一旦全面觸發,金融用戶將面臨前所未見的沉重打擊。已部署趨勢科技 Deep Security 的用戶,將能從威脅預警和趨勢科技報告中,第一時間發現該攻擊的網絡惡意通訊行為和感染源。侯振業建議証券和基金類管理層,應立即啟動 IT 風險管理流程,有針對性的徹查此次 APT 攻擊釋放的惡意程序代碼。他續指,由於香港金融界在國內的業務日多,因此必須留意此事件的發展,以免受到攻擊。
據了解,該病毒藏匿頗深並比較狡猾,還具有隱藏文件真正路徑、為惡意 DLL 文件找替身、惡意軟件完整性監測、偽造軟件版本信息、逃避剷除和清除日誌等特性。透過 Deep Security 的啟發式偵測,與沙盒動態分析提示,趨勢科技能監測出APT 攻擊相關郵件中的惡意附件,並使用客制化防禦策略,助企業事先發覺並採取防護措施。趨勢科技並已連同國内金融客戶,成功攔截多次 APT攻擊,助用戶擺脱了以特徵碼為主的傳統保安方案的局限性。而針對「証券幽靈」惡意威脅,用戶也不必在後面苦苦追趕。趨勢科技建議,使用趨勢科技用戶端保安方案的客戶升级至最新病毒碼,便能自動清除該惡意軟件目前的所有變種。而未採用 Deep Security ,和非趨勢科技用戶端保安方案的用戶, 則須針對以下關鍵訊息進行自我檢查:
部分特徵表現包括:利用反向連接技術,連接到控制伺服器的 443 端口,實現後門功能;使用保安軟件,在目標電腦上創建用戶,並打開共享,再利用遙距計畫任務啟動;通過 Winlogon 的 Notify 和 Service 方式自啟動,部分變種會替換系统的 DLL;在文件系统中創建 Junction,將系统 DLL 複製成和惡意 DLL 同名,用於混淆用戶 ;在註册表中創建 briefcase.server 的鍵值,用於記錄狀態、配置和備份訊息。
事實上,APT愈趨精密,不少為有組織及有目標的針對性客制化攻擊,能輕易繞過或避開防火牆及保安軟件的偵測,防不勝防,因此市場上湧現了不少專門針對APT的保安方案。趨勢科技網絡安全監測實驗室(CRTL),近日便監測到數件針對國內金融行業的APT攻擊事件。該威脅多變,會導致用戶重要數據外泄。趨勢科技通過檢測BKDR_CORUM、TSPY_GOSME、TROJ_JNCTN,及TROJ_GENERIC.APC等惡意病毒家族,目前將此威脅命名為「証券幽靈」。趨勢科技特别提醒金融行業用戶須作應急措施,評估内部網絡風險,慎防韓國金融行業APT攻擊事件重演。
CRTL研究表明,「証券幽靈」威脅擁有典型的APT攻擊特點,瞄準銀行、証券等更具攻擊價值的企業網絡,並主要針對 IT 管理人員的終端、域控、DNS伺服器、保安,和業務管理系統伺服器。其感染途徑可通過網絡共享、其他病毒,及被篡改後的第三方軟件傳播,但「証券幽靈」進入企業網絡後,不會立即大規模傳播,反而會潛伏下來,並尋找其他更具價值的數據和替代者。
隱藏文件路徑 剷除日誌瞞惡意行為
趨勢科技技術總監侯振業表示,該威脅極具智能,針對金融行業 IT 管理人員和網絡服務節點伺服器進行攻擊,並尋找網内軟件的漏洞進行全網控制。由於受攻擊人員和伺服器的權限極大,攻擊的特徵將被視為正常通訊和授權操作,其可能造成的數據外泄危機實難以估計。一旦全面觸發,金融用戶將面臨前所未見的沉重打擊。已部署趨勢科技 Deep Security 的用戶,將能從威脅預警和趨勢科技報告中,第一時間發現該攻擊的網絡惡意通訊行為和感染源。侯振業建議証券和基金類管理層,應立即啟動 IT 風險管理流程,有針對性的徹查此次 APT 攻擊釋放的惡意程序代碼。他續指,由於香港金融界在國內的業務日多,因此必須留意此事件的發展,以免受到攻擊。
據了解,該病毒藏匿頗深並比較狡猾,還具有隱藏文件真正路徑、為惡意 DLL 文件找替身、惡意軟件完整性監測、偽造軟件版本信息、逃避剷除和清除日誌等特性。透過 Deep Security 的啟發式偵測,與沙盒動態分析提示,趨勢科技能監測出APT 攻擊相關郵件中的惡意附件,並使用客制化防禦策略,助企業事先發覺並採取防護措施。趨勢科技並已連同國内金融客戶,成功攔截多次 APT攻擊,助用戶擺脱了以特徵碼為主的傳統保安方案的局限性。而針對「証券幽靈」惡意威脅,用戶也不必在後面苦苦追趕。趨勢科技建議,使用趨勢科技用戶端保安方案的客戶升级至最新病毒碼,便能自動清除該惡意軟件目前的所有變種。而未採用 Deep Security ,和非趨勢科技用戶端保安方案的用戶, 則須針對以下關鍵訊息進行自我檢查:
部分特徵表現包括:利用反向連接技術,連接到控制伺服器的 443 端口,實現後門功能;使用保安軟件,在目標電腦上創建用戶,並打開共享,再利用遙距計畫任務啟動;通過 Winlogon 的 Notify 和 Service 方式自啟動,部分變種會替換系统的 DLL;在文件系统中創建 Junction,將系统 DLL 複製成和惡意 DLL 同名,用於混淆用戶 ;在註册表中創建 briefcase.server 的鍵值,用於記錄狀態、配置和備份訊息。
沒有留言:
發佈留言