趨勢科技的研究報告強調了金融業必須抵禦的當前及新風險,並預測網路犯罪分子將會如何利用和攻擊開放銀行。
9月14日代表歐盟(EU)修訂的第二號支付服務指令( Payment Service Directive ,以下簡稱 PSD2)的實施 – 也稱為開放銀行。PSD2的目的是替大眾提供更多便利及更好的銀行資料控制。同時讓第三方金融科技(FinTech)公司取得跟傳統銀行附加服務相同的客戶銀行資料處理權限,好進行資料分析和財務管理建議,以及其他可能的服務。
2015年核准的PSD2取代了2007年的支付服務指令(PSD),強調了服務商和使用者的具體保護程序、權利和義務,以激勵金融業的創新和競爭。雖然它的設計和主要適用於歐盟成員國,但該指令影響超出了該地區。該指令被譽為金融業的遊戲規則改變者,因為它移除了傳統銀行對客戶資料的控制,讓使用者有權與金融服務商分享銀行資料,用於財務管理及其他目的。
為了遵守法律安全規定,銀行在確保建立必要的安全基礎設施及獲得銀行客戶同意資料存取後,向金融科技公司開放API。但已經出現了些關於準備狀況的擔憂。
當資料外洩發生,其後續的效應並不一定會隨著事件落幕而消失。Akamai 的研究人員指出,根據他們在 2017 年 11 月至 2018 年 6 月之間觀察到的 300 億次惡意嘗試登入顯示,金融業正面臨越來越多的憑證填充 (Credential Stuffing) 攻擊。
憑證填充攻擊是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功為止。此攻擊技巧很可能讓企業因為詐騙、網路斷線導致業務停擺、緊急應變與通知客戶、系統修復以及商譽受損等等而造成損失。
該研究特別指出,遭遇這類攻擊的企業不分大小。報告引述的例子是某家財星 500 大 (Fortune 500) 企業,同時也是一家信用合作社,該公司的日常登入活動突然飆高,造成每分鐘網路流量大幅增加。在為期 6 至 7 天的觀察期間,其網路活動從 420 萬飆升至 850 萬次嘗試登入,因而讓這起殭屍網路暴力攻擊與試圖暗中存取活動曝光。
[延伸閱讀:A Shift in the ATM Malware Landscape: From Physical to Network-based Attacks]
目前,金融業與零售業依舊是這類攻擊的主要目標,因為這類自動化攻擊非常容易實行。而且行動裝置與網站的介面和作業系統通常會盡可能精簡,因為冗長的載入時間不利於客戶和合法使用者的線上體驗。同時,客戶和員工也習慣在多個網路帳號上使用相同的電子郵件與密碼組合,而企業也仍在使用一些老舊或廠商已不再支援的作業系統。除此之外,還有企業的員工和現有系統無法有效分辨正常使用者與網路犯罪集團的登入活動。
由於網路犯罪集團總是處心積在尋找獲利方式,因此針對金融業網路資產的攻擊不論是數量、型態和手法都會不斷增加。以下是一些強化安全來防範這類攻擊的建議方法:
趨勢科技 XGen™ 防護能為企業提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心、雲端環境、網路及端點。
它藉由高準度的機器學習來保護閘道與端點資料和應用程式,保護實體、虛擬及雲端工作負載。XGen 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。XGen 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:Report Finds Increased Credential Stuffing Attacks on Financial Sector
似乎每隔幾年就會出現一種新技術成為跨越不同產業的大事件。像是雲端和大數據 – 在它們正熱門的時候,這些概念被加進技術領域內幾乎所有的內容裡。
而現在,區塊鏈似乎填補了這一地位,在各種產業的討論和會議中不斷出現。但對金融服務業來說,不僅要了解區塊鏈的基礎知識,還必須認識此一概念所帶來的各種威脅和機會。
基礎知識
首先,金融服務業必須了解區塊鏈到底是什麼。現在這可能變得很困難,因為有各種不同的定義出現。但常見的專家解釋重點包括了:
沒有這套系統就無法驗證或追蹤虛擬貨幣交易。隨著新虛擬貨幣的出現,會建立新的區塊鏈來支撐貨幣價值。 繼續閱讀
我們在一月看到了磁碟清除病毒KillDisk攻擊在拉丁美洲的幾家金融機構。其中一次攻擊的目標是組織內連接SWIFT網路的系統。
而在五月,我們在同一個區域發現會清除開機磁區的惡意軟體。其中一個受害組織是一家銀行,讓其系統好幾天無法使用,也讓營運中斷了將近一個禮拜而無法提供客戶服務。我們的分析發現這起攻擊僅是用來分散注意力,最終的目的是進入能夠連接銀行SWIFT網路的系統。
一開始發現是電腦開機磁區出現問題。根據我們的測試所看到的錯誤訊息,可以確認這是另一個(可能是新的)KillDisk變種。這訊息在感染MBR病毒的系統很常見,但在其他類型的惡意軟體(如勒索病毒)並不常見,有些人一開始認為這就是罪魁禍首。趨勢科技將此威脅偵測為TROJ_KILLMBR.EE和TROJ_KILLDISK.IUE(病毒碼;14.281.00)。
光看這行為很難判斷這起攻擊是隨機性的網路犯罪活動或是像我們之前一月所看到,是組合式攻擊的一部分。
圖1、開機磁區被覆寫後的錯誤訊息
我們找到了可能是2018年五月攻擊所用的病毒樣本。執行之後也如預期的破壞了開機磁區(見圖1)。初步分析這個檔案後顯示它是用Nullsoft腳本安裝系統(NSIS)所製作,這是用來製作安裝程式的開放原始碼工具。駭客利用此工具並故意地將其命名為“MBR Killer”。儘管這樣本利用VMProtect(防止被逆向工程的虛擬化保護工具)加以保護,但我們仍然能夠確認它能夠清除實體硬碟的第一個磁區,如圖2所示。
我們在這樣本中沒有發現其他新或值得注意的行為。程式碼中看不出命令和控制(C&C)基礎設施或通訊相關訊息,或是類似勒索病毒的行為。這惡意軟體中沒有與網路有關的行為跡象。
圖2、惡意軟體命名為“MBR Killer”(上)。程式碼片段顯示其會清除硬碟的第一個磁區(下)
圖3、惡意軟體進行MBR清除動作
這個惡意軟體會清除中毒系統內找到的所有實體硬碟。以下是它如何進行MBR清除的動作:
在呼叫API時,主執行檔會植入組件檔%User Temp%/ns{5 random characters}.tmp/System.dll。然後主執行檔會載入DLL檔案,它提供呼叫API所需的匯出函式“Call”。
這隻惡意軟體的破壞力會讓中毒電腦無法運行,也更加強調了縱深防禦的重要性:建立安全防護陣列來涵蓋組織IT基礎架構的各個層面,從閘道和端點,到網路和伺服器。以下是一些組織可以用來抵禦這類威脅的最佳實作:
趨勢科技解決方案
入侵指標(IoCs):
相關雜湊值:
SHA256: a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8
SHA1: 2aa3803869edee7fa1ab7cf96d992ccfecc89e7b
MD5: 9e33143916f648ec338f209eb0bd4789
SHA256:1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446
SHA1: 2766d7eaf2003f435f1a868b3687355823d34470
MD5: c1831baa5505f5a557380e0ab3f60f48
今年一月也曾出現KillDisk的變種病毒攻擊拉丁美洲的金融機構,相關文章以及雜湊值如下:
SHA256:8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5
SHA1: 5c2ef418a36799541cec673dd7d9f87371a9e3bd
MD5: 571de903333a6951b8875a73f6cf99c5
@原文出處:New KillDisk Variant Hits Latin American Financial Organizations Again 作者:Fernando Mercês(資深威脅研究員)
2017年 2月,許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為,包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後,它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。
該惡意軟體被懷疑是放在波蘭金融監管局(該國的金融監管機構)網站上。有意思的是,研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似。
有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分,這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站,注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具,特別是使用目標金融機構所擁有IP地址的使用者。 繼續閱讀
