近日���,趨勢(shì)科技 (中國(guó)區(qū)) 網(wǎng)絡(luò)安全監(jiān)測(cè)實(shí)驗(yàn)室(CRTL)最新監(jiān)測(cè)到數(shù)起針對(duì)國(guó)內(nèi)金融行業(yè)的APT(Advanced Persistent Threat����,高級(jí)持續(xù)性威脅)攻擊事件�����。該威脅變化多端�,會(huì)導(dǎo)致用戶重要信息數(shù)據(jù)泄露。趨勢(shì)科技通過檢測(cè)BKDR_CORUM家族�、TSPY_GOSME家族�����、TROJ_JNCTN家族及China Pattern通用檢測(cè)TROJ_GENERIC.APC等惡意病毒��,目前將此威脅命名為“證券幽靈”��。趨勢(shì)科技特別提醒金融行業(yè)用戶需要做出應(yīng)急響應(yīng)����,評(píng)估內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)����,謹(jǐn)防韓國(guó)金融行業(yè)APT攻擊事件的“翻版”。
CRTL研究表明�����,“證券幽靈”惡意威脅擁有了更加典型的APT攻擊特點(diǎn)�����,瞄準(zhǔn)銀行�、證券等更具攻擊價(jià)值的企業(yè)網(wǎng)絡(luò),并主要針對(duì)IT管理人員的終端�、域控���、DNS服務(wù)器、網(wǎng)絡(luò)安全和業(yè)務(wù)管理軟件服務(wù)器���。其感染途徑可以通過網(wǎng)絡(luò)共享�、或由其他病毒及被篡改后的第三方軟件傳播釋放�,但“證券幽靈”進(jìn)入企業(yè)內(nèi)網(wǎng)后不會(huì)立即大規(guī)模傳播,反而會(huì)潛伏下來�,并尋找其他更具價(jià)值的數(shù)字信息和替代者。
趨勢(shì)科技(中國(guó)區(qū))技術(shù)總監(jiān)蔡昇欽表示:“該威脅極具‘智能’���,針對(duì)金融行業(yè)IT管理人員和網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)服務(wù)器進(jìn)行攻擊,并尋找網(wǎng)內(nèi)軟件的漏洞進(jìn)行全網(wǎng)控制�。由于遭受攻擊的人員和服務(wù)器節(jié)點(diǎn)權(quán)限極大,病毒攻擊的特征將被視為正常通信和授權(quán)操作����,其后續(xù)可能造成的數(shù)字資產(chǎn)泄露危害不可估量。一旦全面觸發(fā)��,金融用戶將面臨歷史上從未遭遇過的沉重打擊����。已經(jīng)部署趨勢(shì)科技TDA的用戶���,將能從威脅預(yù)警和趨勢(shì)科技報(bào)告信息中第一時(shí)間發(fā)現(xiàn)該病毒的網(wǎng)絡(luò)惡意通信行為和感染源。而其他企業(yè)�����,特別是證券和基金類公司�,建議管理員應(yīng)立即啟動(dòng)IT風(fēng)險(xiǎn)管理流程、有針對(duì)性的排查此次APT攻擊釋放的惡意程序代碼�����?!?/p>
據(jù)了解,該病毒“藏匿頗深并比較狡猾”����,還具有:隱藏文件真正路徑、為惡意DLL文件找“替身”�����、惡意軟件完整性監(jiān)測(cè)�、偽造軟件版本信息、免殺和清除日志等特性����。此前����,趨勢(shì)科技在事前通過TDA 的啟發(fā)式偵測(cè)與沙盒動(dòng)態(tài)分析提示���,監(jiān)測(cè)出韓國(guó)APT攻擊相關(guān)郵件中的惡意附件����,并使用定制化防御策略��,幫助趨勢(shì)科技的韓國(guó)客戶事先發(fā)覺并采取防護(hù)措施�����,成功抵擋了黑客攻擊�。而趨勢(shì)科技TDA防御體系�����,也將會(huì)為其在國(guó)內(nèi)金融用戶防范APT過程中扮演相同的角色����。
趨勢(shì)科技作為全球服務(wù)器安全�����、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商�����,已經(jīng)攜手國(guó)內(nèi)金融客戶成功攔截多次APT攻擊的趨勢(shì)科技�����,幫助用戶擺脫了以特征碼為主的傳統(tǒng)安全產(chǎn)品的局限性���。而針對(duì)“證券幽靈”惡意威脅,用戶也不必在后面“苦苦追趕”����。趨勢(shì)科技建議:使用趨勢(shì)科技防病毒客戶端的客戶,升級(jí)到最新病毒碼��,便能自動(dòng)清除目前該惡意軟件的所有變種�。而未采用TDA產(chǎn)品和非趨勢(shì)科技防病毒客戶端的用戶, 需要針對(duì)以下關(guān)鍵信息進(jìn)行“自查”,或者可以使用趨勢(shì)科技提供的ATTK掃描病毒并收集信息����,尋求趨勢(shì)科技工程師的幫助���。
最新一輪的金融行業(yè)APT攻擊威脅洶涌襲來,趨勢(shì)科技提供的以下技術(shù)細(xì)節(jié)可以幫助用戶查找“證券幽靈”存在的可能性:
一�����、部分特征表現(xiàn)
· 利用反向連接技術(shù)連接到控制服務(wù)器的443端口����,實(shí)現(xiàn)后門功能;
· 使用安全軟件�����,在目標(biāo)計(jì)算機(jī)上創(chuàng)建用戶�����,并打開共享��,再利用遠(yuǎn)程計(jì)劃任務(wù)啟動(dòng)��;
· 通過Winlogon的Notify和Service方式自啟動(dòng)����,部分變種會(huì)替換系統(tǒng)的DLL;
· 在文件系統(tǒng)中創(chuàng)建Junction�,將系統(tǒng)DLL復(fù)制成和惡意DLL同名,用于混淆用戶 ����;
· 在注冊(cè)表中創(chuàng)建briefcase.server的鍵值,用于記錄狀態(tài)����、配置和備份信息。
二���、如何判斷是否受到威脅:
· 使用趨勢(shì)科技TDA能有效發(fā)現(xiàn)內(nèi)網(wǎng)中被入侵的計(jì)算機(jī)和病毒的網(wǎng)絡(luò)行為��;
· 目前我們發(fā)現(xiàn)感染該惡意軟件的主要是金融行業(yè)的用戶�,特別是證券和基金公司����。建議這些公司進(jìn)行檢查;
· 對(duì)網(wǎng)絡(luò)流量進(jìn)行分析���,發(fā)現(xiàn)異常的網(wǎng)絡(luò)流量��,特別是非工作時(shí)間的網(wǎng)絡(luò)訪問或者周期性地訪問相同的網(wǎng)站���;
· 對(duì)內(nèi)網(wǎng)的通訊進(jìn)行分析��,找到異常的端口通訊����;
· 對(duì)域登錄記錄進(jìn)行分析���,找到異常的登錄或者密碼猜測(cè)行為��;
· 如果懷疑受到威脅��,建議將檢查重心放在服務(wù)器網(wǎng)段和對(duì)服務(wù)器有管理權(quán)限的IT人員�。特別是域控�、文件服務(wù)器、安全軟件服務(wù)器等��;
· 檢查計(jì)算機(jī)是否存在HKCRBriefcase.server注冊(cè)表項(xiàng)目����;
· 檢查系統(tǒng)中是否有被重命名的系統(tǒng)文件,是否有異常的reparse point到System32目錄�����。
關(guān)于趨勢(shì)科技(Trend Micro)
趨勢(shì)科技是全球虛擬化及云計(jì)算安全的領(lǐng)導(dǎo)廠商���,致力于保障企業(yè)及消費(fèi)者交換數(shù)字信息環(huán)境的安全��。趨勢(shì)科技始終秉持技術(shù)革新的理念�,基于業(yè)內(nèi)領(lǐng)先的云計(jì)算安全技術(shù)Smart Protection Network核心技術(shù)架構(gòu)�,為全世界各地用戶提供領(lǐng)先的整合式信息安全威脅管理技術(shù)能防御惡意軟件、垃圾郵件�����、數(shù)據(jù)外泄以及最新的Web信息安全��,保障信息與財(cái)產(chǎn)的安全����。同時(shí),遍布全球各地的1,500余名趨勢(shì)科技安全專家可為各國(guó)家和地區(qū)的企業(yè)級(jí)個(gè)人用戶提供7×24的全天候響應(yīng)及技術(shù)支持服務(wù)��。更多關(guān)于趨勢(shì)科技公司及最新產(chǎn)品信息���,請(qǐng)?jiān)L問: www.trendmicro.com.cn�。請(qǐng)?jiān)L問Trend Watch:www.trendmicro.com/go/trendwatch查詢最新的信息安全威脅的詳細(xì)資訊。
來源:中國(guó)財(cái)經(jīng)網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章�,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
