証券幽靈」APT威脅現身

趨勢科技率先預警

金融行業慎防翻版韓國APT攻擊



香港,2013 731 趨勢科技網絡安全監測實驗室(CRTL)最新監測到數件針對國內金融行業的APT(Advanced Persistent Threat,進階持續性威脅)攻擊事件。該威脅變化多端,會導致用戶重要數據泄露。趨勢科技通過檢測BKDR_CORUM、TSPY_GOSME、TROJ_JNCTN及TROJ_GENERIC.APC等惡意病毒家族,目前將此威脅命名為「証券幽靈」。趨勢科技特别提醒金融行業用戶需要做出應急措施,評估内部網絡風險,慎防韓國金融行業APT攻擊事件翻版。

CRTL研究表明,「証券幽靈」威脅擁有更典型的APT攻擊特點,瞄準銀行、証券等更具攻擊價值的企業網絡,並主要針對 IT 管理人員的終端、域控、DNS伺服器、保安和業務管理系統伺服器。其感染途徑可以通過網絡共享、其他病毒及被篡改後的第三方軟件傳播,但「証券幽靈」進入企業網絡後不會立即大規模傳播,反而會潛伏下來,並尋找其他更具價值的數據和替代者。

趨勢科技技術總監侯振業先生表示﹕「該威脅極具智能,針對金融行業 IT 管理人員和網絡服務節點伺服器進行攻擊,並尋找網内軟件的漏洞進行全網控制。由於受攻擊人員和伺服器的權限極大,攻擊的特徵將被視為正常通訊和授權操作,其可能造成的數據洩露危機實難以估計。一旦全面觸發,金融用戶將面臨前所未見的沉重打擊。已部署趨勢科技 Deep Security 的用戶,將能從威脅預警和趨勢科技報告中第一時間發現該攻擊的網絡惡意通訊行為和感染源。對其他企業,特别是証券和基金類公司,我們建議管理層應立即啟動 IT 風險管理流程、有針對性的徹查此次 APT 攻擊釋放的惡意程序代碼。」


侯振業指出,由於香港金融界在國內的業務日多,故必須留意此事件的發展,以免受到攻擊。

據了解,該病毒藏匿頗深並比較狡猾,還具有隱藏文件真正路徑、為惡意 DLL 文件找替身、惡意軟件完整性監測、偽造軟件版本信息、逃避剷除和清除日志等特性。此前,趨勢科技在事前通過 Deep Security 的啟發式偵測與沙盒動態分析提示,監測出韓國 APT 攻擊相關郵件中的惡意附件,並使用客制化防禦策略,幫助趨勢科技的韓國客戶事先發覺並採取防護措施,成功抵擋黑客攻擊。而趨勢科技 Deep Security 防禦體系,也將為國内外金融用戶防範 APT 過程中扮演相同角色。

趨勢科技作為全球伺服器安全、虛擬化及雲運算安全領導廠商,已經連同國内金融客戶成功攔截多次 APT攻擊,幫助用戶擺脱了以特徵碼為主的傳統保安方案的局限性。而針對「証券幽靈」惡意威脅,用戶也不必在後面「苦苦追趕」。趨勢科技建議使用趨勢科技用戶端保安方案的客戶升级到最新病毒碼,便能自動清除該惡意軟件目前的所有變種。而未採用 Deep Security  和非趨勢科技用戶端保安方案的用戶, 需要針對以下關鍵訊息進行自我檢查,或者可以使用趨勢科技提供的 ATTK 掃描病毒並收集訊息,及尋求趨勢科技工程師的幫助。

最新一輪的金融行業APT攻擊威脅洶湧來襲,趨勢科技提供以下技術细節幫助用戶查找「証券幽靈」存在的可能性:


一、部分特徵表現

  • 利用反向連接技術連接到控制伺服器的 443 端口,實現後門功能;
  • 使用保安軟件,在目標電腦上創建用戶,並打開共享,再利用遙距計劃任務啟動;
  • 通過 Winlogon 的 Notify 和 Service 方式自啟動,部分變種會替換系统的 DLL;
  • 在文件系统中創建 Junction,將系统 DLL 複製成和惡意 DLL 同名,用於混淆用戶 ;
  • 在註册表中創建 briefcase.server 的鍵值,用於記錄狀態、配置和備份訊息。

二、如何判斷是否受到威脅:

  • 使用趨勢科技 Deep Security 能有效發現網絡中被入侵的電腦和病毒的網絡行為;
  • 目前我們發現感染該惡意軟件的主要是金融行業的用戶,特别是証券和基金公司。建議這些公司進行檢查;
  • 分析網絡流量尋找異常的流量,特别是非工作時間的網絡訪問或者周期性地登入相同的網站;
  • 分析内網的通訊,尋找異常的端口通訊;
  • 分析網域登錄記錄,尋找異常的登錄或密碼猜測行為;
  • 如果懷疑受到威脅,建議將檢查重心放在伺服器網段和對伺服器有管理權限的 IT 人員。特别是域控、文件伺服器、保安伺服器等;
  • 檢查電腦是否存在 HKCR\Briefcase.server 註册表項目;
  • 檢查系統中是否有被重新命名的系統文件,是否有異常的 reparse point 被置於 System32 目錄。

###

關於趨勢科技:

趨勢科技股份有限公司(東京證券交易所股票代碼:4704)是全球雲端安全的領導廠商,提供針對內容資訊安全防護以及威脅管理解決方案,致力於保障企業與消費者數位資訊交換環境安全。趨勢科技是業界技術先驅,在伺服器安全領域擁有超過20年的經驗,提供符合客戶與合作夥伴所需的端點、伺服器,以及雲端相關的頂尖資安防護,快速阻擋最新威脅,保護存於實體、虛擬,以及雲端環境中的資料。趨勢科技的資訊安全解決方案皆獲得全球獨家主動式雲端截毒技術(Smart Protection Network™)支援,配合全球超過千名的趨勢科技資安專家支援服務,有效阻止來自網際網絡的資安威脅。更多關於趨勢科技的訊息請參考:www.trendmicro.com


版權所有2013 趨勢科技股份有限公司。保留所有權利。Trend Micro 和 Trend Micro t 字球形標誌是趨勢科技股份有限公司的商標或註冊商標。所有其他公司或公司名稱可能是其擁有者的商標或註冊商標。










Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:「証券幽靈」APT威脅現身 趨勢科技率先預警;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋