趨勢科技於上週稍早收到一份最新的目標式攻擊報告(攻擊活動命名為Carbanak),此波攻擊事件主要針對銀行,使駭客能夠滲透公司網路修改銀行相關紀錄從而竊取高額鉅款。根據報告指出,攻擊者能夠滲透100間位於不同國家的銀行,包括:俄羅斯、德國、中國、烏克蘭、美國。
Carbanak攻擊事件讓我們重新檢視銀行業所面臨的威脅,此類型的威脅雖然不會以釣魚信件或是網銀惡意程式直接攻擊使用者,但是仍然十分危險。銀行本身的內部網路十分複雜,但卻握有十分重要的資料,因此成為網路攻擊的絕佳目標。
下面我們列出了部分Carbanak攻擊手法:
- 寄送魚叉式網路釣魚信件給員工,信件內含漏洞CVE-2012-0158、CVE-2013-3906、CVE- 2014-1761,或是在信件內夾帶惡意CPL檔案。
- 不論是攻擊漏洞或是直接執行惡意CPL檔案,都會植入Carbanak惡意程式到作業系統中。Carbanak本身是一個後門程式,可以執行各種指令,包括:鍵盤側錄程式、擷取螢幕快照、檢查某些特定銀行應用程式(例如銀行轉帳軟體)。
- 駭客透過遠端管理工具利用Carbanak在內網中流竄直到找到可進行銀行交易的目標電腦為止,一旦成功入侵目標電腦,透過錄影方式記錄受害者銀行的交易流程,待竊取到所需資訊後,駭客即可進行銀行交易竊取金錢而不被發現。
趨勢科技下列 Custom Defense系列產品及解決方案提供完整周詳的防護,將遭受目標式攻擊的風險降到最低:
- Trend Micro Deep Discovery為Custom Defense的基石,提供網路層的防護,讓管理者可以檢視可疑網路事件,防護APT及目標式攻擊。
- Trend Micro Deep Discovery Email Inspector能夠偵測魚叉式釣魚信件。它能偵測一般郵件防護產品所漏掉的信件惡意內容、附件、URL等等。
- Trend Micro Deep Discovery Analyzer的沙箱技術,能夠使用客製化沙箱環境分析檔案類型、檔案大小、檔案來源以偵測不曾出現過的惡意檔案。
- Trend Micro Deep Discovery Inspector能夠辨認網路中的可疑活動,例:Carbanak惡意程式與C&C伺服器的連線,以及進行內網擴散的連線等等。
一旦偵測到威脅,Deep Discovery能夠提供內網為協的情資,並根據趨勢科技雲端截毒技術服務提供全球的威脅情資,藉以評估惡意程式的風險、網路通訊、連線活動。
Deep Discovery也提供防護元件的自動更新,並以警報通知提供其他產品啟動Custom Defense完整功能,阻擋惡意威脅的攻擊,例如:
- 提供IOC(Indicators of Compromise)資訊給趨勢科技及第三方安全產品(包括C&C黑名單);
- SIEM警報與完整IOC分享;
- 選擇性啟動趨勢科技Trend Micro Network VirusWall Enforcer隔絕受到感染的電腦。
趨勢科技的端點電腦解決方案提供完整的使用者防護功能,建議您開啟下列功能以防止Carbanak進入內網攻擊:
- OfficeScan Corporate Edition(OSCE)用戶請開啟下列元件及功能,以提供最佳防護:雲端掃描、網頁信譽評等功能、行為監控功能、Smart Feedback;
- Worry-Free Business Security/Services (WFBS/WFBS-SVC)同樣具備能夠偵測並移除Carbanak的能力。
- Trend Micro Hosted Email Security提供連線層以及以信件內容為主的過濾功能,阻擋透過電子郵件傳播的威脅。
- Trend Micro InterScan Messaging Security Virtual Appliance使用趨勢科技進階威脅掃描引擎(Advanced Threat Scan Engine, ATSE)偵測文件型攻擊,Carbanak攻擊正是使用這種攻擊方法。
- 在調查過程中,我們發現了其他被使用在此波攻擊的惡意程式,趨勢科技產品以可偵測如下:
- BKDR_CARBANAK.B
- TSPY_CHEPRO.JTJ
- TROJ_ZUSY.KEK
- TROJ_MBRKILL.A
- TROJ_CARBERP.KE
- TROJ_ARTIEF.NCK
- PE_VIRLOCK.F-O
其他參考資料:
2. 趨勢科技知識庫:https://esupport.trendmicro.com/solution/en-US/1107858.aspx