< 病毒警訊 > 針對銀行及金融機構的目標式攻擊—Carbanak的防護策略

趨勢科技於上週稍早收到一份最新的目標式攻擊報告(攻擊活動命名為Carbanak),此波攻擊事件主要針對銀行,使駭客能夠滲透公司網路修改銀行相關紀錄從而竊取高額鉅款。根據報告指出,攻擊者能夠滲透100間位於不同國家的銀行,包括:俄羅斯、德國、中國、烏克蘭、美國。

Target attack

Carbanak攻擊事件讓我們重新檢視銀行業所面臨的威脅,此類型的威脅雖然不會以釣魚信件或是網銀惡意程式直接攻擊使用者,但是仍然十分危險。銀行本身的內部網路十分複雜,但卻握有十分重要的資料,因此成為網路攻擊的絕佳目標。

下面我們列出了部分Carbanak攻擊手法:

  • 寄送魚叉式網路釣魚信件給員工,信件內含漏洞CVE-2012-0158CVE-2013-3906CVE- 2014-1761,或是在信件內夾帶惡意CPL檔案。
  • 不論是攻擊漏洞或是直接執行惡意CPL檔案,都會植入Carbanak惡意程式到作業系統中。Carbanak本身是一個後門程式,可以執行各種指令,包括:鍵盤側錄程式、擷取螢幕快照、檢查某些特定銀行應用程式(例如銀行轉帳軟體)。
  • 駭客透過遠端管理工具利用Carbanak在內網中流竄直到找到可進行銀行交易的目標電腦為止,一旦成功入侵目標電腦,透過錄影方式記錄受害者銀行的交易流程,待竊取到所需資訊後,駭客即可進行銀行交易竊取金錢而不被發現。

趨勢科技下列 Custom  Defense系列產品及解決方案提供完整周詳的防護,將遭受目標式攻擊的風險降到最低:

  • Trend Micro Deep Discovery為Custom Defense的基石,提供網路層的防護,讓管理者可以檢視可疑網路事件,防護APT及目標式攻擊。
  • Trend Micro Deep Discovery Email Inspector能夠偵測魚叉式釣魚信件。它能偵測一般郵件防護產品所漏掉的信件惡意內容、附件、URL等等。
  • Trend Micro Deep Discovery Analyzer的沙箱技術,能夠使用客製化沙箱環境分析檔案類型、檔案大小、檔案來源以偵測不曾出現過的惡意檔案。
  • Trend Micro Deep Discovery Inspector能夠辨認網路中的可疑活動,例:Carbanak惡意程式與C&C伺服器的連線,以及進行內網擴散的連線等等。

一旦偵測到威脅,Deep Discovery能夠提供內網為協的情資,並根據趨勢科技雲端截毒技術服務提供全球的威脅情資,藉以評估惡意程式的風險、網路通訊、連線活動。

Deep Discovery也提供防護元件的自動更新,並以警報通知提供其他產品啟動Custom Defense完整功能,阻擋惡意威脅的攻擊,例如:

  • 提供IOC(Indicators of Compromise)資訊給趨勢科技及第三方安全產品(包括C&C黑名單);
  • SIEM警報與完整IOC分享;
  • 選擇性啟動趨勢科技Trend Micro Network VirusWall Enforcer隔絕受到感染的電腦。

趨勢科技的端點電腦解決方案提供完整的使用者防護功能,建議您開啟下列功能以防止Carbanak進入內網攻擊:

 

其他參考資料:

1. 趨勢科技病毒百科:http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3142/carbanak-targeted-attack-campaign-hits-banks-and-financial-institutions

 

2. 趨勢科技知識庫:http://esupport.trendmicro.com/solution/en-US/1107858.aspx