http://blog.trendmicro.com.tw/?p=11513 想想看,有一種APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊將目標放在金融利益上,而非典型地會去竊取企業內部的重要資料或機密數據,那你大概就知道CARBANAK是什麼了。根據新聞報導,一個後門程式攻擊了超過100家的銀行和金融機構。這起攻擊始於2013年,影響了全球的銀行。 什麼是CARBANAK? CARBANAK是目標放在銀行和金融機構的針對性攻擊活動相關的偵測名稱。根據報告,它所採用的方法和技術(如魚叉式網路釣魚(Phishing)和漏洞攻擊),都常見於批針對性攻擊中。因此,攻擊者的確會對目標網路進行情報蒐集以加以滲透。就跟其他針對性攻擊一樣,他們也使用魚叉式釣魚郵件作為攻擊進入點。趨勢科技將其偵測為BKDR_CARBANAK.A。 誰是目標? CARBANAK惡意軟體背後的攻擊者將目標放在各個國家的銀行和金融機構,像是俄羅斯、美國、烏克蘭及其他亞太地區國家。 惡意軟體如何進入網路? CARBANAK背後的攻擊者會寄送魚叉式釣魚郵件給目標銀行的員工。該電子郵件的附件檔帶有已知或舊的漏洞攻擊碼,如CVE-2012-0158、CVE-2013-3906和CVE-2014-1761。一旦攻擊成功,就會執行shellcode以執行CARBANAK惡意軟體。而在其他的感染鏈中,使用者會收到CPL檔案,執行後也會帶來CARBANAK惡意軟體。 因為有些使用者不會馬上利用軟體或系統更新來修補自己的系統,所以攻擊者常常可以使用舊或已知的漏洞。 惡意份子成功滲透入網路後會發生什麼事? 一旦魚叉式釣魚郵件的收件者打開帶有漏洞攻擊碼的惡意郵件,就會執行CARBANAK惡意軟體。此惡意軟體其中明顯的行為是讓遠端使用者可以執行指令,如訪問特定網站時加以截圖、竊取cookie、注入程式碼到網站以加以監視和刪除瀏覽器cookie等等。此外,它也會收集系統資料。 為了在網路內進行橫向移動,攻擊者也會使用遠端管理工具以連到處理銀行帳戶的目標系統。當他們到達目標系統,攻擊者接著會錄下受影響使用者活動和操作的影片,可能是想要透過這些竊來的資料熟悉銀行作業程序和工作流程。接著用來變造銀行記錄及在不被發現下轉移資金到自己的帳戶。
感染圖表
在我們調查途中,我們發現有其他惡意軟體被用在攻擊中。趨勢科技將它們偵測為:
惡意份子如何取走錢? 一旦攻擊者滲透進目標網路,下一步是將被盜金錢轉到他們的帳戶。要做到這一點,他們使用了環球銀行金融電信協會(SWIFT)網路。在其他案例中,他們利用電子支付系統從假帳戶甚或指定ATM來匯款。 我是趨勢科技產品的客戶。在這種威脅下,我如何受到保護? 是的。趨勢科技產品用戶可以透過下列解決方案來防護這種針對性攻擊: 客製化防禦 Deep Discovery提供了網路層級的能見度和智慧情報,這是客製化防禦解決方案對抗APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的基礎。 對於Carbanak的攻擊情境,Deep Discovery可以偵測攻擊事件序列的幾個不同點:
Deep Discovery偵測魚叉式網路釣魚郵件內的漏洞攻擊碼
- 趨勢科技的Deep Discovery Analyzer可以透過客製化沙箱環境來對攻擊者針對組織電腦及設備平台所特製的檔案類型、大小和來源進行分析,以偵測未知的威脅。它還可以透過分享偵測和分析威脅見解來強化現有安全解決方案的惡意軟體偵測能力,讓安全基礎設施可以防止惡意通訊、網站、應用程式、惡意軟體和攻擊者行為擴散。
Carbanak變種樣本的沙箱分析結果
Deep Discovery Inspector啟發式偵測Ammy遠端管理工具產生的網路流量
Deep Discovery Inspector能夠監控橫跨所有端口的網路流量,超過80種協定和應用程式,偵測特製來躲避傳統安全防禦偵測的惡意威脅。此外,它還採用趨勢科技的進階威脅掃描引擎(ATSE),透過其啟發式規則來偵測惡意電子郵件附件檔所內嵌的漏洞攻擊程式碼。 一旦偵測到,Deep Discovery可以提供本地智慧和來自趨勢科技主動式雲端截毒技術的全球威脅情報給組織,以識別和評估所發現惡意軟體、通訊或活動的風險。 最後,Deep Discovery提供自動化安全特徵碼更新和警報通知給組織的其他安全產品,形成完整的客製化防禦來阻止攻擊進一步擴散。包括了: - 提供IOC(入侵指標)資料(包括C&C黑名單)給趨勢科技和第三方安全產品
- SIEM警報通知和完整的IOC分享
- 可選用整合趨勢科技的Network VirusWall Enfocer來隔離已知受感染端點
端點防護 適當配置的端點解決方案可以確保防止Carbanak進入系統或網路。
郵件掃描解決方案 電子郵件在Carbanak進入過程裡扮演了重要的角色,也是防護不被攻擊的重要因素。 |