資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出,該集團曾經攻擊美國和俄羅斯的金融機構,並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。
MoneyTaker 是什麼?
MoneyTaker 是一個網路犯罪集團,其名稱來自該團體所用的客製化惡意程式,此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統,然後再雇用一群車手到 自動提款機 (ATM) 前提款。
MoneyTaker運作至今至少有 18 個月之久,他們下手的對象包括:信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示,該集團目前也開始拓展版圖至拉丁美洲企業,甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年,歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行,使得該銀行至少損失 8,100 萬美元。
[資安基礎觀念:商業流程入侵 (Business Process Compromise)]
MoneyTaker 是如何將錢從銀行偷走?
MoneyTaker 基本上使用的是無檔案式惡意程式,這類惡意程式不需下載檔案,亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行,或者躲藏在系統登錄內,以長期潛伏。典型的無檔案式攻擊技巧包括:將惡意程式碼直接注入現有執行程序當中,或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團,該集團已從金融機構得手超過 4,500 萬美元。
無檔案式威脅不像傳統惡意程式那麼容易發覺,例如,它們會混入正常的網路流量當中,或是暗藏在正常的系統管理工作當中,因此不會留下太多蛛絲馬跡。研究人員表示,該集團一直成功潛入並躲藏在目標系統當中,直到某個程式設計錯誤讓他們留下了零碎的蛛絲馬跡,最後才被人發現。
除此之外,MoneyTaker也會在攻擊當中使用 Metasploit 這個滲透測試工具。在進入目標機構的網路之後,MoneyTaker會試圖取得系統管理權限,最終進而掌控網路。其幕後操縱 (C&C) 通訊會使用知名或跨國企業 (如 Bank of America 和 Microsoft) 名義的憑證進行加密。該集團也會使用銷售櫃台系統 (PoS) 惡意程式和銀行木馬程式。
[延伸閱讀:利用 PowerShell 的無檔案式威脅崛起]
企業可以做些什麼?
2016 年最後一季,無檔案式惡意程式較該年第一季大幅增加了 33%。未來這股趨勢必然繼續擴大,因為我們所熟悉的一些威脅現在也開始採用這類技巧,包括:勒索病毒、數位加密貨幣採礦程式、後門程式等等。企業可以採取以下幾點防禦措施來降低其威脅:
- 修補系統和軟體。無檔案式惡意程式會利用系統漏洞來取得管理權限以執行惡意程式。因此,企業應隨時套用最新的修補更新來防堵可能被利用的漏洞,或者採用虛擬修補來防堵未知的漏洞並且保護老舊或已終止支援的系統。
- 可能的話,盡量採取最低授權的原則,能不開放的權限就不要開放。無檔案式攻擊經常使用 PowerShell 和 PSExec 這類系統工具,因此妥善保護這些工具變得非常重要。而 Microsoft 也發表了一份有關使用 PowerShell 的最佳實務原則。
- 部署多層式資安機制。無檔案式威脅會利用一些工具來越過系統管制 (例如限制應用程式執行的白名單機制)。像這樣的惡意程式,可藉由行為監控在系統偵測到異常行為或異常修改時加以攔截。至於利用系統工具來執行腳本的惡意程式,則可藉由沙盒模擬分析來剖析其執行過程。
- 守護您的閘道。無檔案式攻擊可能來自任何管道:垃圾電子郵件、惡意網站、系統漏洞,甚至是第三方附加元件。守護您的電子郵件閘道可降低電子郵件攻擊的威脅。至於來自網站的威脅,則可藉由網址過濾和網址分類來加以攔截。
- 主動監控網路。防火牆與入侵防護系統,可有助於遏止駭客入侵,並且在發現異常活動時發出警示,例如發現疑似將資料外傳的流量。
- 定期檢查系統記錄檔,並開啟系統活動記錄。儘管無檔案式攻擊不易發覺,但仍可能會留下一些零碎的蛛絲馬跡,因此 IT 系統管理員和資安人員就可從中了解並因應威脅。
趨勢科技 XGen安全防護能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心、雲端環境、網路及端點。它藉由高準度的機器學習來保護閘道與端點資料和應用程式,保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:MoneyTaker Cybercriminal Group Steals $10 Million from Financial Institutions