为加强对金融威胁的认识,防范金融威胁攻击,强化企业和个人对金融威胁的安全意识,赛门铁克公司于年中发布了《金融行业安全威胁白皮书2017》。书中介绍了金融威胁的分布、传播和战术,也对金融威胁的常见威胁,针对ATM、POS和移动终端的攻击,以及破坏和拆卸行动进行了详细的阐述。限于篇幅,本文只列出部分内容,读者可通过点击文末“阅读原文”下载《金融行业安全威胁白皮书2017》完整中文版。
概要
金融威胁对网络罪犯来说仍然是有利可图的,因此将是威胁布局里的一个持久存在的部分。从攻击网上银行的金融木马,到针对ATM的攻击和虚假的跨行交易,罪犯使用了许多不同的攻击载体。
正如2015年金融威胁报告所预测到的,针对企业和金融机构的攻击在2016年将持续增多。这从一系列针对环球银行金融电讯协会(SWIFT)成员银行的高级金融攻击中得到了证明。尽管没有迹象表明今年SWIFT的成员银行遭遇到了这种高价值抢劫,但几个这样的金融机构在2016年却遭受了网络罪犯和得到国家支持的攻击者(如Lazarus黑客组织)的攻击,损失了数百万美元。
平均而言,在2016年38%的金融威胁以大型企业为攻击目标。大多数感染是由广泛的电子邮件活动而不是有针对性的攻击造成的。
尽管金融恶意软件在2016年的检测量下降了36%,但这主要是在攻击链的更早期被检测到和攻击更加集中的缘故。2016年检测出的金融威胁超过120万个,金融威胁的空间仍然比勒索软件大2.5倍。举例来说,仅Ramnit(W32.Ramnit)在2016年的检测量就几乎等同于所有勒索软件的总和。
金融木马威胁主要由三个恶意软件家族所主导:Ramnit、Bebloh(Trojan.Bebloh)和Zeus(Trojan.Zbot)。这三大家族主导了2016年86%的金融木马攻击事件。然而,由于逮捕、破坏行动和重组,这些威胁的活跃情况在过去几年发生了很大的变化。举例来说,拆卸雪崩后,Bebloh在2017年已经全部消失。许多这些家族的、专注于填补特定空隙地带的新变种在市场上已经重新出现或再次出现。攻击者主要使用没有太大变化并附有简单附件的电子邮件来进行诈骗活动。例如,2016年,Bebloh在全球范围内共进行了55000次攻击活动。
2016年,日本是金融木马Bebloh和Snifula(Trojan.Snifula)的主要攻击目标,超过90%的攻击活动发生在这个国家。不清楚为什么这两个威胁改变了攻击目标,但有迹象显示,攻击相似的目标时,它们使用了共享资源。从全球范围内来说,美国的金融机构被攻击地最多,其次是波兰和日本。
我们也观察到了金融恶意软件的一些发展趋势,如试图隐藏配置文件逃避研究者的检测,或者重定向攻击,甚至在检测到感兴趣的金融软件时,人为登录到系统中提交大型交易。
本文是对去年报告(金融威胁报告2015)的一个更新。尽管赛门铁克和其他研究者已经发布了各种侧重于单个威胁家族的研究,本文将详细讨论我们观察到的金融威胁局面的整体变化。
重要发现
| 网络犯罪在2016年十分猖獗,伴随着受人瞩目的受害者和比以往任何时候还要高的经济奖励。在2016年发生的Lazarus攻击事件中,首次出现了国家强烈干涉金融网络犯罪的迹象。
| Ramnit是2016年最活跃的金融木马,占比38%,其次是Bebloh(25%)和Zeus(23%)。
| 86%的金融威胁攻击来自于三大威胁家族。
| 在日本检测到的攻击最多,其次是中国和印度。
| 美国的金融机构被赛门铁克所分析的样本攻击地最多,其次为波兰和日本。
| 金融木马在2016年的检测量下降了36%(2015年是73%)。
| 恶意软件的制作者混淆了受攻击银行的URL,使得无法对所有威胁家族进行确切的统计。
| 重定向到假冒网站的攻击再次增多。
| 网络钓鱼的发生频率在2017年3月降低到了1:9138。
| 在恶意网站上使用免费的自助式SSL证书的数量有所增加。
| 为窃取凭证信息,恶意软件至少攻击了170款移动银行app。
| APT(高持续性威胁)黑客组织正在使用金融恶意软件,并更多地结合一些常见的攻击。
| 2016年,仅Bebloh一个样本就在全球发动了55000次攻击。
| 平均62%的金融威胁是在消费者的计算机上检测到的。
简介
旨在接管客户交易和网上银行会话的金融威胁仍有待评估。尽管提及获取利益时,加密的勒索软件正在成为网络罪犯的一个常见的选择,但我们仍然观察到大量的恶意软件,意图攻击金融组织和他们的客户。
常见金融恶意软件的实施步骤可简单归纳为以下几个步骤:
| 通过任何一个常见的感染载体将恶意软件安装到一个目标计算机上。
| 然后,这个恶意软件开始等待,直到用户访问到一个他们感兴趣的网站,它们或者会窃取凭证信息,按照利于自己的方向篡改浏览器内部的数据,或者会将网页重定向到一个处于攻击者控制下的远程服务器中来执行中间人攻击。
| 一旦这些攻击者能访问网上银行业务,他们就会提交虚假交易。
| 之后,这些金钱通常会被发送给所谓的“钱骡”——钱骡唯一的工作就是取出这些钱,然后再通过其他手段转移给罪犯。
金融机构的常见威胁
旨在接管客户交易和网上银行会话的金融威胁仍有待评估。尽管提及获取利益时,加密的勒索软件正在成为网络罪犯的一个常见的选择,但我们仍然观察到大量的恶意软件,意图攻击金融组织和他们的客户。
常见金融恶意软件的实施步骤可简单归纳为以下几个步骤:
| 通过任何一个常见的感染载体将恶意软件安装到一个目标计算机上。
| 然后,这个恶意软件开始等待,直到用户访问到一个他们感兴趣的网站,它们或者会窃取凭证信息,按照利于自己的方向篡改浏览器内部的数据,或者会将网页重定向到一个处于攻击者控制下的远程服务器中来执行中间人攻击。
| 一旦这些攻击者能访问网上银行业务,他们就会提交虚假交易。
| 之后,这些金钱通常会被发送给所谓的“钱骡”——钱骡唯一的工作就是取出这些钱,然后再通过其他手段转移给罪犯。
金融机构的常见威胁
有针对性的抢劫
Lazarus
在2016年初发生的孟加拉中央银行网络抢劫是最为大胆的银行抢劫案之一。罪犯盗走了8100万美元,如果不是一个印刷工和几个目光犀利、心生疑虑的官员,那么这个数字可能会达到10亿美元。
犯罪分子利用Bangladesh银行安全方面的漏洞渗透到其系统内,入侵了拥有SWIFT网络访问权限的计算机,这导致攻击者能够窃取这家银行的操作员凭证,从而连接到SWIFT网络的信息传送接头进行虚假的交易。这不是由于SWIFT网络存在漏洞,而是攻击者控制了一台受信任的计算机来发起欺诈交易。之后罪犯使用了恶意软件来掩盖他们的行迹。这个恶意软件能够篡改这家银行打印交易的确认信息,有效地延长了交易被发现的日期。攻击者在一个长周末的前几天发起了这个攻击,这也进一步降低了偷窃被发现的可能性。
犯罪分子向位于纽约的美国联邦存储银行发送了数次请求,要求将孟加拉银行的钱转出,大部分转入到菲律宾和斯里兰卡。将8100万美元转让给菲律宾的四项请求获得了成功,但在要求转移2000万给斯里兰卡的一个非盈利基金会时,由于基金会的名字存在拼写错误而引起了怀疑,这项请求被立即暂停,有关人员从孟加拉银行寻求确认,导致整个欺诈活动被揭露了出来。然而,已经已经有8100万美元消失了,主要进入到了与菲律宾赌场相关的账户中。
目前,8100万美元中的大部分仍不知所踪;然而,2016年的11月,一家菲律宾赌场归还了1500万美元给孟加拉中央银行。
Odinaff
2016年,人们发现,利用名为Trojan.Odinaff的恶意木马所进行的网络攻击活动,企图攻击全球众多的金融组织。这些Odinaff系列攻击十分复杂,并且明显出自专业的网络犯罪团伙之手。虽然攻击目标同样是使用SWIFT的通信服务的用户,但没有证据表明这些攻击与Banswift系列攻击有关。攻击者再一次利用了银行的安全漏洞潜入到网络内部,然后通过SWIFT网络进行连接传送消息,但是,SWIFT网络本身没有安全漏洞被利用或者受到攻击的痕迹。
赛门铁克的研究表明,Odinaff系列攻击活动开始于2016年1月,专注于银行、证券、贸易和薪资支付部门。攻击者通常在攻击的第一个阶段部署Odinaff木马来在网络上获取一个立足点。
后续的攻击非常复杂,要求大量的人手参与其中,在特定的计算机上系统地部署一系列轻量级的后门和专门的工具。
Odinaff木马大多部署在包含恶意宏病毒的文档中,同时僵尸网络也会用来部署这个木马。这些攻击者对攻击活动进行了精心的管理,威胁行为者在目标企业的网络中低调处事,只在需要的时候才下载和安装新的工具。
感染载体
过去几年,金融木马的感染载体并没有太大变化,仍然与其他常见的木马相同。它的传播主要依赖于带有恶意附件的垃圾邮件和web漏洞利用工具包。
2016年散播金融木马最流行的办法是使用垃圾邮件。众所周知的办公文档附件和恶意的宏病毒依然被广泛使用。然而,一直以来,为传播恶意软件,以不同附件形式的微软视觉培基剧本语言(VBS)和Java脚本(JS)文件在大批量垃圾邮件的运行中也有应用。我们也有观察到没有宏病毒的办公文档,取而代之的是内嵌OLE对象和诱使用户双击有效载荷的说明。仅2016年11月的某一天,Necurs僵尸网络(Backdoor.Necurs)就发送了180多万个JS下载器,由此可见这些攻击活动的强度有多大。
2016年文档宏病毒和JS下载器每月检测量
一些组织采用新漏洞的速度很快,例如2017年4月10日,Dridex(W32.Cridex)使用了刚刚在微软文字软件上发现的零日漏洞,感染了成千上万的用户。大批量地发送受到感染的电子邮件,当文档被打开时,就会感染带有Dridex变种病毒的计算机。
另外还有一些组织关注社会工程学。我们观察到一些钓鱼网络邮件使用了个性化的名称,这些名称是从其他数据泄漏事件中获得的。一些欺诈性的邮件甚至由一些合法的知名电子邮件服务提供商(ESP)发出。正如瑞士GovCERT所指出的,这可能会增加这些邮件抵达用户收件箱的几率。在Dridex这个案例中,垃圾邮件的构建十分令人信服,由此导致恶意JS被下载。
典型的带有恶意文档附件的钓鱼邮件
网络钓鱼邮件把受害者引诱到一个虚假的网站,诱使他们透露账号详细信息。2017年3月,使用网络钓鱼邮件的比率降低到了1:9138。2016年,使用网络钓鱼邮件的平均比率略高于1:3000。简单的网络钓鱼不再对大多数银行和金融机构有用了,因为这些银行和机构已很少只依靠静态密码。但是,网络钓鱼攻击仍然可以成功地窃取网上零售账户凭证信息和信用卡详细信息。
流行性
金融木马在不断发展。由于破坏行动或它本身更新为其他版本,经过一段时间后,我们观察到金融木马的使用情况发生了一些变化。2016年最活跃的威胁家族是Ramnit、Bebloh、Snifula和Zeus variants。去年在全球范围内,金融木马的感染数持续下降。与2015年相比,2016年在终端上的检测量下降了36%,2015年这个数字是73%,比前一年相比也有下降。发生这种情况的原因有多种,其中之一是安全公司在网络杀伤链中预先拦截威胁的能力变得更好,并且在拦截垃圾邮件方面变得更加的高效。
检测恶意软件的成功降低了相应金融木马的感染数。因此,恶意软件通过垃圾邮件发送给终端用户的实际数量比实际在终端检测到的数量要多。2016年9月和10月,检测量增多,这主要是由于Trojan.Bebloh木马活动在日本增多所导致的。
威胁家族的分布
2016年,Ramnite和Zeus以及它们的变种病毒持续失去市场份额,然而诸如Bebloh等的其他一些威胁却在快到年底时大受欢迎。历年来,Zeus源代码被公开也导致了很多后续项目,大量的组织使用了Zeus原始样本的变体。
2015年2月,在一次清除Ramnit的行动后,这个威胁进入休眠期,但在2016年它又重新出现,继续在金融木马全局中占据主导地位。Ramnit在2016年全年保持着很高的检测率。有趣的是,Ramnit过去经常通过Angler漏洞利用工具包进行传播,然而,Angler在年中消失后,Ramnit的攻击活动并没有减少。这表明使用此威胁的行动者调整了他们的感染技巧——例如,有报道称,在此期间,Ramnit在英国是通过电子邮件进行传播的。
以日本为焦点的金融木马
在2015金融威胁白皮书中,我们看到针对日本的攻击出现了大幅增长,并成功地预测到针对它的攻击会继续增多。我们看到,在亚洲的日本、中国、印度、菲律宾和越南,金融木马的检测量有了很大的增长,这些国家都进入了前10强。这表明攻击者正试图将攻击扩大到饱和度相对较小的地区,这些地区得到的保护相对较少。
我们观察到Bebloh和Snifula尤其针对在日本的金融机构,这增加了这个国家的感染数。检测到Bebloh在全球所有的攻击中,有超过90%的检测量来自于日本。2016年1月,在所有检测到的Snifula木马中,30%来自于美国,然而,下半年它转移了关注焦点,90%的活动被检测到发生在日本。现在还不清楚发生这一转变的具体原因。
2016年全球所有检测中日本的检测量百分比(每两个月的平均数)
策略、技术与程序
大多数金融威胁会部署一整套模块用于实施各种任务,如截图、录像、键盘记录、表单抓取、或安装SOCKS代理和远程访问工具(如隐藏的VNC服务器)。许多攻击者会使用免费的SSL证书来保护他们的基础设施。Snifula(也称Vawtrak)的一些变体甚至在其指挥和控制服务器上使用了SSL协议进行通信,这使得更难监控它们。
现代恶意软件通常会部署各种反调试的技巧,以使分析更加困难。process hollowing技术和注入系统进程仍然是恶意软件制作者经常使用的策略,用以隐藏其在受感染计算机上的行迹。使用动态API解析和检测用户地钩的方法也常常被用于绕过安全工具的检测。
金融木马使用的策略包括源代码合并、沙箱逃逸、远程桌面访问、视线转移、Webinjects、重定向、会话劫持、无文件加载点、AtomBombing注入、窗口覆盖和社会工程学攻击。
针对ATM、POS和移动终端的攻击
ATM和POS
自动柜员机(ATM)和销售点(POS)攻击在2016年继续增加。ATM恶意软件已经存在了10年,但仍然有效。随着针对银行的攻击不断增加,我们观察到,金融网络对ATM的攻击也有增加。当下,有许多活跃的针对ATM和POS的威胁家庭,如Ploutus(Backdoor.Ploutus)、Flokibot、Trojan.Skimer、FastPOS(Infostealer.Fastpos)、Infostealer.Poslit、Infostealer.Donpos、Infostealer.Jackpos、Infostealer.Scanpos和Backdoor.Pralice,这里仅列举了其中几个。因为Chip&PIN已经在欧洲以外得到广泛采用,我们观察到,经典的能擦除内存的威胁在不断减少,因为对于攻击者们来说,它们已经不再有效。
有关ATM机的攻击有不同层次的复杂度。在针对ATM的一些攻击中,犯罪分子会使用一把盗取的钥匙打开盖子或强行撬开锁来获取物理访问ATM计算机的机会,一旦获取了访问USB或CD-ROM的机会,他们就可以安装恶意软件和连接一个键盘来发布指令(Ploutus恶意软件使用的就是这种攻击载体)。
据报道,酒店也遭遇过类似的攻击。攻击者使用了签到计算机后端暴露出的USB接口安装恶意软件。而在零售店中,攻击者在店中一个暴露的网络接口上安装了嗅探器,这使得攻击者能入侵任何与网络相连的POS设备,从而盗取支付卡信息。
除物理访问ATM外,使用另一个攻击载体也是可能的。正如在2017年4月所报道的,一些攻击者发现,为了能获取访问内部总线系统的机会,可以在ATM套管上掘开一个洞。一旦能够访问总线系统后,只需要用一个廉价的微型计算机发送指令给总线,使ATM吐出现金。
并不是所有的ATM和POS攻击行为都需要物理访问。美国联邦调查局FBI在2016年11月曾就Buhtrap组织入侵金融机构内网系统并发布攻击命令导致ATM自动吐钞一事警告称:“这一系列事件并不涉及任何物理改动或损坏ATM机组的行为。”台北警方估计Buhtrap组织的网络攻击已经造成约3亿美金的损失。在另一起事件中,攻击者成功在多台ATM机上安装ATMitch恶意软件,致使每台机子至少吐出了80万美金。
类似远程攻击行为同样发生在POS机的攻击事件中。例如,Trojan.Flokibot就是一款专门用于远程攻击POS机端保存付款交易信息电脑的木马病毒。攻击者利用鱼叉式网路钓鱼邮件入侵对方计算机,然后用TeamViewer和Ammyy Admin软件远程控制该计算机并实施攻击行为。
可租借移动木马软件控制面板
破坏和清除
由于全球范围内的网络安全研究人员与政府执法机构合作越来越紧密,在过去几年中,他们联手破坏了一系列重大的网络攻击行动,其中就包括了几起备受瞩目的网络安全威胁清除事件。这些行动不仅给恶意金融活动凿开了一个缺口,更是给从事相关违法犯罪活动的网络罪犯的一次严正警告。
Dyre
2016年初破获的一起与Dyre金融诈骗木马相关的网络犯罪活动,是近年最主要的网络安全威胁清除行动之一。
2016年2月,有媒体报道称此前2015年11月俄罗斯的一次执法行动成功破坏了一场网络金融木马诈骗活动。这直接导致2016年Dyre网络安全犯罪活动相比前一年骤降了92个百分点。
雪崩
清除Avalanche的行动对其背后的网络犯罪社区是一个严重的打击,扣押了多个恶意软件家族使用的基础设施。Avalanche清除行动是十多个国际执法机构、检察官、安全和IT组织(包括Symantec在内)共同努力的结果。收缴了犯罪组织使用的39台服务器和数十万个域名。
Symantec针对Avalanche网络的研究起始于2012年,当时主要集中在针对德国、奥地利和瑞士地区的勒索软件相关的研究上。当时德国警方正在对Bebloh恶意软件进行调查,Symantec研究人员在调查过程中向警方提供技术援助,双方联合努力最终导致了Avanlanche雪崩僵尸网络浮出水面。Avalanche是一个庞大的恶意软件控制管理平台,托管了至少17种不同的恶意软件家族,负责控制大量世界各地受感染的计算机。
逮捕
除了下架举措外,2016年相关机构对犯罪份子实施了各种抓捕。俄罗斯安全部队在2016年6月对Lurk黑客组织(主要针对俄罗斯的金融机构,涉案金额超过2500万美元)进行了严厉的打击,在莫斯科逮捕了50名木马制作者嫌疑人;2017年1月,疑是Trojan.Snifula的制作者在西班牙被逮捕,导致Snifula攻击活动几乎完全消失了。
总结
实施多起国际性的清除和逮捕行动后,金融恶意软件在2016年的检测量下降了36%,但金融威胁依然很活跃。
2016年的三大恶意软件家族是Ramnit(aka Gootkit)、Bebloh 和 Zbot (aka Zeus),它们占整体金融威胁相关活动的86%。
金融木马的感染向量与其他常见的恶意软件(比如勒索软件)一样,许多犯罪组织共享相同的垃圾邮件僵尸网络或漏洞利用工具包的情况已经屡见不鲜。
日本在2016年遭受的金融恶意软件攻击占全部攻击的37%,这表明攻击者能够很快的适应新的市场,一旦当前的目标变得饱和,被保护的很好或不再轻易上当受骗。
沙盒逃逸和反调试技术在2016年基本上没有变化,然而,使用重定向攻击的活动有所增加,受害人被重定向一个远程站点,然后实行内联的攻击,这会给终端防护带来更多困难。
另一个明显的趋势是针对企业和金融机构本身的攻击有所增加。平均而言。被检测到的所有金融威胁中,38%发生在企业。一旦攻击者识别到目标已被感染,他们会远程登录到受害主机,慢慢的学习交易规则,当机会来临时,会试图在每月的发票付款订单中注入一些虚假的交易,或者尝试提交一些跨行转账的申请。即使这类攻击很难执行且需要更长的准备时间,但是它们能够带来更高的利润。随着Lazarus集团与一些对知名银行的攻击发生关联,这是首次确认国家可能支持了网络经济犯罪行动。
Android平台上的威胁主要集中在表单重叠攻击或伪造银行APP方面,我们已经观察到超过170款恶意的移动应用。移动端的威胁还与金融机构通过手机APP部署的双因素认证有关。由于最新版本的Android操作系统对这类攻击作了很好的防护,我们看到攻击者重新回归社会工程学的手段,试图诱骗受害人授权执行欺诈交易。归根结底,在一个线上交易流程中,用户依然是最薄弱的环节,这就意味着,即使是拥有最强大的技术,依然可能遭受到社会工程学攻击的破坏。
我们预计,未来对用户而言,金融恶意软件依然是一个问题,攻击者可能会更关注企业的财务部门并使用社会工程学进行攻击。
欲查看《金融行业安全威胁白皮书2017》完整中文版,请点击链接: http://pan.baidu.com/s/1hrFNYaK 密码: r9bw
