想想看,有一种APT攻击——高级持续性威胁(Advanced Persistent Threat)/目标攻击将目标放在金融利益上,而非典型地会去窃取企业内部的重要数据或机密数据,,那你大概就知道CARBANAK是什么了。
什么是CARBANAK?
CARBANAK是目标放在银行和金融机构的针对性攻击活动相关的侦测名称。根据报告,它所采用的方法和技术(如鱼叉式网络钓鱼和漏洞攻击),都常见于针对性攻击中。因此,攻击者的确会对目标网络进行情报搜集以加以渗透。就跟其他针对性攻击一样,他们也使用鱼叉钓鱼邮件作为攻击进入点。趋势科技将其侦测为BKDR_CARBANAK.A。
谁是目标?
CARBANAK恶意软件背后的攻击者将目标放在各个国家的银行和金融机构,例如俄罗斯、美国、乌克兰及其他亚太地区国家。
恶意软件如何进入网络?
CARBANAK背后的攻击者会寄送鱼叉式钓鱼邮件给目标银行的员工。该电子邮件的附件带有已知或旧的漏洞攻击码,如CVE-2012-0158、CVE-2013-3906和CVE-2014-1761。一旦攻击成功,就会执行shellcode以执行CARBANAK恶意软件。而在其他的感染链中,用户会收到CPL档案,执行后也会带来CARBANAK恶意软件。
因为有些用户不会马上利用软件或系统更新来修补自己的系统,所以攻击者常常可以使用旧的或已知的漏洞。
恶意分子成功渗透入网络后会发生什么事?
一旦鱼叉式钓鱼邮件的收件者打开带有漏洞攻击码的恶意邮件,就会执行CARBANAK恶意软件。此恶意软件其中明显的行为是让远程用户可以执行指令,如访问特定网站时加以截图、窃取cookie、注入程序代码到网站以加以监视和删除浏览器cookie等等。此外,它也会收集系统数据。
为了在网络内进行横向移动,攻击者也会使用远程管理工具以连到处理银行帐户的目标系统。当他们到达目标系统,攻击者接着会录下受影响用户活动和操作的视频,可能是想要通过这些窃来的数据熟悉银行作业程序和工作流程。接着用来变造银行记录及在不被发现下转移资金到自己的账户。
(感染图表)
恶意分子如何取走钱?
一旦攻击者渗透进目标网络,下一步是将被盗金钱转到他们的账户。要做到这一点,他们使用了环球银行金融电信协会(SWIFT)网络。在其他案例中,他们利用电子支付系统从假帐户甚或指定ATM来汇款。
趋势科技产品的用户在这种威胁下,如何受到保护?
趋势科技产品用户可以通过下列解决方案来防护这种针对性攻击:
1、定制化防御
Deep Discovery提供了网络层级的能见度和智能情报,这是定制化防御解决方案对抗APT攻击——高级持续性威胁(Advanced Persistent Threat)/目标攻击的基础。
对于Carbanak的攻击情境,Deep Discovery可以侦测攻击事件序列的几个不同点:
趋势科技的Deep DiscoveryEmail Inspector可以侦测攻击者寄送给银行员工作为初步突破传统安全防御,站稳脚步并开始针对性攻击的鱼叉式钓鱼邮件。Deep Discovery Email Inspector具备电子邮件检验能力,可以发现标准电子邮件安全解决方案所没注意到的恶意内容、附件和网址链接。
(Deep Discovery侦测鱼叉式网络钓鱼邮件内的漏洞攻击码)
趋势科技的Deep DiscoveryAnalyzer可以通过定制化沙盒环境对攻击者针对组织计算机及设备平台所特制的文件类型、大小和来源进行分析,以侦测未知的威胁。它还可以通过分享侦测和分析威胁见解来强化现有安全解决方案的恶意软件侦测能力,让安全基础设施可以防止恶意通信、网站、应用程序、恶意软件和攻击者行为扩散。
(Carbanak变种样本的沙盒分析结果)
趋势科技的Deep DiscoveryInspector可以在识别网络内的各种可疑活动,例如当Carbanka在网络内进行横向移动或是连上命令和控制网络时。Deep Discovery Inspector还可以主动侦测攻击者所使用远程管理工具引发的网络流量。
(Deep Discovery Inspector启发式侦测Ammy远程管理工具产生的网络流量)
Deep Discovery Inspector能够监控横跨所有端口的网络流量,超过80种协议和应用程序,侦测特制来躲避传统安全防御侦测的恶意威胁。此外,它还采用趋势科技的进阶威胁扫描引擎(ATSE),通过其启发式规则来侦测恶意电子邮件附件所内嵌的漏洞攻击程序代码。
一旦侦测到,Deep Discovery可以提供本地智能和来自趋势科技主动式云端截毒技术的全球威胁情报给组织,以识别和评估所发现恶意软件、通信或活动的风险。
最后,Deep Discovery提供自动化安全特征码更新和警报通知给组织的其他安全产品,形成完整的定制化防御来阻止攻击进一步扩散。
2、终端防护
适当配置的终端解决方案可以确保防止Carbanak进入系统或网络。
趋势科技OfficeScanCorporate Edition(OSCE)的云端扫描、网页信誉评比服务、行为监控和Smart Feedback等功能可以提供最佳的防护,侦测恶意文件并对抗CARBANAK。
3、邮件扫描解决方案
电子邮件在Carbanak进入过程里扮演了重要的角色,也是防护不被攻击的重要因素。
人只要不失去方向,就不会失去自己
