網路銀行詐騙 - 資安趨勢部落格

2016臺灣企業受駭比例最高的惡意攻擊 RAMNIT 並未消失

2017 年 02 月 21 日2017 年 05 月 09 日趨勢科技 TrendMicro

2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為，其中榜首為Ramnit，該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。

RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序，讓自己隨時常駐在記憶體內，而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。

網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借慈善機構散發網路釣魚郵件。

2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發，企業不僅必須提高警覺，還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。

今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借 Migrant Helpline 的名義散發網路釣魚郵件，Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下，下載到目前最頑強的惡意程式之一，也就是 2016 年東山再起的 RAMNIT 木馬程式。

趨勢科技「2016 年資訊安全總評」報告指出，銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示，2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種，而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異，因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時，感染 RAMNIT 的使用者大約在 320 萬左右。

根據當時破獲行動的規模來看，RAMNIT 的感染數量照理應當要大幅下降才對。但是，感染數量只有在 2015 年 2 月確實減少，但隔月幾乎就完全恢復，而且接下來的 2015 一整年，感染數量一直維持在 10,000 以上。根據媒體報導，此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發，這也解釋了為何後續幾個月的感染數量突然飆升。

繼續閱讀

波蘭銀行和其他金融機構遭受新惡意軟體攻擊

2017 年 02 月 17 日2017 年 03 月 13 日趨勢科技 TrendMicro

2017年 2月，許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為，包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後，它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。

該惡意軟體被懷疑是放在波蘭金融監管局（該國的金融監管機構）網站上。有意思的是，研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似。

有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分，這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站，注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具，特別是使用目標金融機構所擁有IP地址的使用者。繼續閱讀

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

2017 年 02 月 15 日2017 年 02 月 17 日趨勢科技 TrendMicro

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織？

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

無檔案感染（Fileless Infection）就如同其名：沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見，而且對企業和一般使用者都造成了嚴重的威脅，因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。無檔案感染對攻擊者來說，重要的一點是可以先評估中毒系統，確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團，這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者，在部署其他惡意軟體前先探測其目標。感染鏈有多個階段，可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣，則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰，直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元，同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織？他們還知道什麼其他的技術可能被其他網路犯罪分子仿效？他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業？我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析，我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

*2011年至2012****年初：*利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說，特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站（如Google）。繼續閱讀

12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

2016 年 07 月 19 日2017 年 08 月 16 日趨勢科技 TrendMicro

你在擁擠的馬路上行走時會小心扒手,那在網路呢?

網路銀行提供了許多便利性，也帶給詐騙份子可乘之機,為了避免Google的索引雷達，網路銀行扒手沒有註冊任何主機名稱/網域;他們假裝來自正常銀行的網路釣魚是用來獲取敏感資料;利用間諜軟體竊聽網路封包;甚至會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼….

以下是一些攻擊者使用過並繼續讓許多網銀用戶存款人間蒸發的著名銀行木馬列表：

ZBOT（又名ZeuS）: 監視使用者的瀏覽狀況以觸發攻擊

ZBOT是公認透過 HTTP POST 到遠端網址來收集資訊。網路犯罪分子可能會用取得的資料來從受害者身上竊取金錢或到地下市場出售。此外，一旦電腦受到感染，它也會成為「Botnet傀儡殭屍網路」網路的一部分。

2011年，ZBOT的原始碼在檔案分享網站流傳，並且在地下論壇迅速地蔓延。在ZBOT問世後幾年，許多網路犯罪分子利用它的程式碼來建立具備類似功能的變種。ZBOT變種常會出現意想不到的行為，像是結合檔案感染型病毒，有些變種還會透過點擊付費（per-pay-click）模式收錢。

有些ZBOT變種會調整行為來躲避偵測，包括使用隨機標頭和不同副檔名，還會改變其加密方式。此外，它也加強其連到C&C伺服器的方法，像是使用Tor和點對點網路。

GOZI利用螢幕擷取和鍵盤側錄功能，取得登錄認證

GOZI銀行木馬是會監視網路流量的間諜軟體。利用其螢幕擷取和鍵盤記錄功能，它可以取得存在瀏覽器和郵件應用程式的登錄認證。GOZI利用Rootkit組件來隱藏相關進程、檔案和註冊表資訊。

在2015年9月，拉脫維亞的Deniss Calovskis在美國聯邦法院承認關於製造和散播網路銀行木馬GOZI的罪名。他在2015年2月從家鄉引渡到美國，Calovskis面臨60年以上的求刑，但認罪可能讓它大大縮短至10年再加上巨額罰款。繼續閱讀

知名網路竊盜案鎖定銀行 SWIFT 系統

2016 年 07 月 01 日2016 年 06 月 28 日趨勢科技 TrendMicro

前一陣子，孟加拉、越南和厄瓜多等地的銀行遭網路犯罪集團洗劫，引起了許多報導與討論。這三起搶案都牽涉到「環球銀行金融電信協會」(Society for Worldwide Interbank Financial Transfers)的 SWIFT 系統，這是一個全球金融銀行機構彼此溝通訊息與交易指示的系統，該協會擁有超過 10,000 家會員，涵蓋銀行、證券、外匯、投資等等金融相關機構。前述知名的攻擊事件讓人不解的是，為何駭客能夠進入這些銀行並取得交易及匯款的授權？他們使用了什麼工具？金融機構需要甚麼安全機制才能偵測這些可疑的活動？

越南 Tien Phong Commercial Joint Stock Bank 在去年底所發生的這一起精密的網路竊盜案，其背後的駭客使用了專門用來攻擊 SWIFT 訊息網路的工具，並且會修改 SWIFT 訊息來竊取匯款。此外，歹徒似乎非常熟悉 SWIFT 系統以及銀行如何使用這套系統，包括銀行的作業方式在內。這一點從歹徒知道如何利用 Foxit 閱讀器這個免費的 PDF 編輯、檢視、製作工具來針對這家越南銀行進行社交工程攻擊就能看出，透過事先的偵查，歹徒知道這家銀行的作業當中會用到這項 PDF 閱讀器。

全球遭到攻擊有八家銀行 (其 SWIFT 代碼都記錄在惡意程式內)，其中有六家都是位於亞太地區，另兩家則分別位於美國和歐洲。我們相信，這麼多攻擊目標集中在亞洲絕非巧合，或許，這些網路犯罪集團非常了解亞洲地區的銀行生態以及銀行在網路安全方面的困境。儘管亞洲地區的銀行已著手針對安全進行一番大幅改革，但依然落後美國和歐洲的銀行，有些區域性的銀行即使意識到安全的重要性，但仍並未編列足夠的預算或投資一些更安全的技術和解決方案。某些亞洲國家更缺乏跨國界的協調機制，因而造成打擊網路犯罪上的阻礙。根據 2015 年的一份研究顯示，亞洲地區還有一項弱點，那就是公私部門缺乏合作，難以解決網路安全的問題。

歹徒不留痕跡

趨勢科技仔細研究了一下歹徒攻擊越南銀行所使用的工具 (也就是我們偵測到的 TSPY_TOXIFBNKR.A)。當該工具在銀行使用 SWIFT 系統的電腦上執行時，可提供三項主要功能。首先，它可透過修改 PDF 檔案中的 SWIFT 訊息來篡改銀行交易，不過，由於此惡意程式是假冒成 Foxit 閱讀器，因此它必須成為系統預設的 PDF 開啟程式才能奏效，或者由使用者手動利用這工具來開啟含有 SWIFT 訊息的檔案。其次，惡意程式可將其所有活動痕跡刪除，包括嘗試修改失敗的痕跡，此外，它所刪除的資料還包括銀行進出交易的記錄檔。最後，它會記錄並詳細說明其活動。下圖顯示該程式的感染運作過程，目前我們仍在監控這項威脅，看看它是否有任何進一步的發展或額外的發現。