近日�,趨勢科技 (中國區(qū)) 網(wǎng)絡(luò)安全監(jiān)測實驗室(CRTL)最新監(jiān)測到數(shù)起針對國內(nèi)金融行業(yè)的APT(Advanced Persistent Threat���,高級持續(xù)性威脅)攻擊事件�。該威脅變化多端�,會導(dǎo)致用戶重要信息數(shù)據(jù)泄露。趨勢科技通過檢測BKDR_CORUM家族�、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用檢測TROJ_GENERIC.APC等惡意病毒��,目前將此威脅命名為“證券幽靈”���。趨勢科技特別提醒金融行業(yè)用戶需要做出應(yīng)急響應(yīng)�����,評估內(nèi)部網(wǎng)絡(luò)風(fēng)險�����,謹(jǐn)防韓國金融行業(yè)APT攻擊事件的“翻版”����。
CRTL研究表明�����,“證券幽靈”惡意威脅擁有了更加典型的APT攻擊特點�,瞄準(zhǔn)銀行、證券等更具攻擊價值的企業(yè)網(wǎng)絡(luò)�����,并主要針對IT管理人員的終端����、域控、DNS服務(wù)器、網(wǎng)絡(luò)安全和業(yè)務(wù)管理軟件服務(wù)器��。其感染途徑可以通過網(wǎng)絡(luò)共享����、或由其他病毒及被篡改后的第三方軟件傳播釋放,但“證券幽靈”進(jìn)入企業(yè)內(nèi)網(wǎng)后不會立即大規(guī)模傳播�����,反而會潛伏下來����,并尋找其他更具價值的數(shù)字信息和替代者。
趨勢科技(中國區(qū))技術(shù)總監(jiān)蔡昇欽表示:“該威脅極具‘智能’��,針對金融行業(yè)IT管理人員和網(wǎng)絡(luò)服務(wù)節(jié)點服務(wù)器進(jìn)行攻擊�����,并尋找網(wǎng)內(nèi)軟件的漏洞進(jìn)行全網(wǎng)控制�����。由于遭受攻擊的人員和服務(wù)器節(jié)點權(quán)限極大����,病毒攻擊的特征將被視為正常通信和授權(quán)操作�����,其后續(xù)可能造成的數(shù)字資產(chǎn)泄露危害不可估量。一旦全面觸發(fā)���,金融用戶將面臨歷史上從未遭遇過的沉重打擊����。已經(jīng)部署趨勢科技TDA的用戶��,將能從威脅預(yù)警和趨勢科技報告信息中第一時間發(fā)現(xiàn)該病毒的網(wǎng)絡(luò)惡意通信行為和感染源�。而其他企業(yè),特別是證券和基金類公司��,建議管理員應(yīng)立即啟動IT風(fēng)險管理流程�����、有針對性的排查此次APT攻擊釋放的惡意程序代碼�����。”
據(jù)了解����,該病毒“藏匿頗深并比較狡猾”,還具有:隱藏文件真正路徑���、為惡意DLL文件找“替身”��、惡意軟件完整性監(jiān)測��、偽造軟件版本信息�����、免殺和清除日志等特性���。此前,趨勢科技在事前通過TDA 的啟發(fā)式偵測與沙盒動態(tài)分析提示�����,監(jiān)測出韓國APT攻擊相關(guān)郵件中的惡意附件���,并使用定制化防御策略��,幫助趨勢科技的韓國客戶事先發(fā)覺并采取防護(hù)措施�,成功抵擋了黑客攻擊。而趨勢科技TDA防御體系��,也將會為其在國內(nèi)金融用戶防范APT過程中扮演相同的角色���。
趨勢科技作為全球服務(wù)器安全、虛擬化及云計算安全領(lǐng)導(dǎo)廠商���,已經(jīng)攜手國內(nèi)金融客戶成功攔截多次APT攻擊的趨勢科技���,幫助用戶擺脫了以特征碼為主的傳統(tǒng)安全產(chǎn)品的局限性。而針對“證券幽靈”惡意威脅���,用戶也不必在后面“苦苦追趕”���。趨勢科技建議:使用趨勢科技防病毒客戶端的客戶,升級到最新病毒碼����,便能自動清除目前該惡意軟件的所有變種。而未采用TDA產(chǎn)品和非趨勢科技防病毒客戶端的用戶, 需要針對以下關(guān)鍵信息進(jìn)行“自查”�,或者可以使用趨勢科技提供的ATTK掃描病毒并收集信息��,尋求趨勢科技工程師的幫助�����。
最新一輪的金融行業(yè)APT攻擊威脅洶涌襲來�,趨勢科技提供的以下技術(shù)細(xì)節(jié)可以幫助用戶查找“證券幽靈”存在的可能性:
一�����、部分特征表現(xiàn)
· 利用反向連接技術(shù)連接到控制服務(wù)器的443端口���,實現(xiàn)后門功能���;
· 使用安全軟件,在目標(biāo)計算機上創(chuàng)建用戶�,并打開共享,再利用遠(yuǎn)程計劃任務(wù)啟動�;
· 通過Winlogon的Notify和Service方式自啟動,部分變種會替換系統(tǒng)的DLL����;
· 在文件系統(tǒng)中創(chuàng)建Junction,將系統(tǒng)DLL復(fù)制成和惡意DLL同名���,用于混淆用戶 ��;
· 在注冊表中創(chuàng)建briefcase.server的鍵值����,用于記錄狀態(tài)、配置和備份信息�����。
二�、如何判斷是否受到威脅:
· 使用趨勢科技TDA能有效發(fā)現(xiàn)內(nèi)網(wǎng)中被入侵的計算機和病毒的網(wǎng)絡(luò)行為��;
· 目前我們發(fā)現(xiàn)感染該惡意軟件的主要是金融行業(yè)的用戶����,特別是證券和基金公司。建議這些公司進(jìn)行檢查��;
· 對網(wǎng)絡(luò)流量進(jìn)行分析�����,發(fā)現(xiàn)異常的網(wǎng)絡(luò)流量��,特別是非工作時間的網(wǎng)絡(luò)訪問或者周期性地訪問相同的網(wǎng)站;
· 對內(nèi)網(wǎng)的通訊進(jìn)行分析�����,找到異常的端口通訊��;
· 對域登錄記錄進(jìn)行分析����,找到異常的登錄或者密碼猜測行為;
· 如果懷疑受到威脅���,建議將檢查重心放在服務(wù)器網(wǎng)段和對服務(wù)器有管理權(quán)限的IT人員�����。特別是域控��、文件服務(wù)器�、安全軟件服務(wù)器等��;
· 檢查計算機是否存在HKCRBriefcase.server注冊表項目��;
· 檢查系統(tǒng)中是否有被重命名的系統(tǒng)文件�����,是否有異常的reparse point到System32目錄。
關(guān)于趨勢科技(Trend Micro)
趨勢科技是全球虛擬化及云計算安全的領(lǐng)導(dǎo)廠商����,致力于保障企業(yè)及消費者交換數(shù)字信息環(huán)境的安全。趨勢科技始終秉持技術(shù)革新的理念�����,基于業(yè)內(nèi)領(lǐng)先的云計算安全技術(shù)Smart Protection Network核心技術(shù)架構(gòu)���,為全世界各地用戶提供領(lǐng)先的整合式信息安全威脅管理技術(shù)能防御惡意軟件����、垃圾郵件���、數(shù)據(jù)外泄以及最新的Web信息安全,保障信息與財產(chǎn)的安全����。同時,遍布全球各地的1,500余名趨勢科技安全專家可為各國家和地區(qū)的企業(yè)級個人用戶提供7×24的全天候響應(yīng)及技術(shù)支持服務(wù)��。更多關(guān)于趨勢科技公司及最新產(chǎn)品信息,請訪問: www.trendmicro.com.cn��。請訪問Trend Watch:www.trendmicro.com/go/trendwatch查詢最新的信息安全威脅的詳細(xì)資訊���。
來源:中國財經(jīng)網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點和立場�����。版權(quán)事宜請聯(lián)系:010-65363056�����。
延伸閱讀
