金融行业威胁深入分析与防护

金融行业由于其行业的特殊性,一旦遭到网络攻击,后果和影响都不堪设想。这篇文章中,我们将结合赛门铁克发布的2017金融行业安全威胁白皮书,深入分析金融行业所面临的威胁与防护措施。

重要发现

  • Ramnit是2016年最活跃的金融特洛伊木马,在约38%的网络攻击都能见到它的身影。紧随其后的是Bebloh(25%)和Zeus(23%)。这三种威胁种类的份额就高达86%。
  • 日本的金融业是感染最严重的地方,紧随其后的就是中国和印度。
  • 美国的金融业是被攻击的最多的国家,其次是波兰和日本。
  • 金融特洛伊木马的检测量在2016年下降了36%。
  • 恶意软件的始作俑者混淆了受攻击银行的URL列表,使得提取每种威胁的准确信息难上加难。
  • 重定向至伪造网站的攻击数量节节攀升。
  • 2017年3月,钓鱼邮件的比例下降到1/9138,即9138封邮件中有1封钓鱼邮件。
  • 手机银行的恶意软件至少攻击了170个app来窃取机密信息。
  • 在恶意站点上使用免费的自助式SSL证书的数量有所增加。
  • APT(高级持续性威胁)越来越多的和普通攻击相融合。
  • 2016年,光Bebloh一个样本就在全球被检测到了55000次
  • 平均62%的金融威胁是在消费级计算机上检测到的。

金融行业威胁面面观

针对个人用户的攻击手段主要有:

信用卡欺诈、金融特洛伊木马、网络钓鱼、社交工程、手机欺诈

针对金融机构的攻击手段主要有:

分布式DoS、勒索邮件、银行间欺诈、ATM/POS攻击、普通攻击

典型金融恶意软件攻击流程:

  1. 恶意软件通过常见的感染途径被安装在目标计算机上;
  2. 恶意软件伺机等待用户访问一个特定网站后,便执行如下操作:窃取登录信息、修改浏览器内的数据、或者将流量重定向至攻击者控制的远程服务器上以执行中间人攻击。
  3. 一旦攻击者接入到网络银行的服务,他们就会尝试提交欺诈交易信息。
  4. 诈骗到的资金先送到“Money Mules”(一个介于受害者和攻击者之间的帐号,起到一个垫脚石的作用,目的是为了把一个可逆、可追溯的交易变为不可逆、难以追溯的交易),然后再通过其他手段转移到犯罪分子手中。

威胁回顾

虽然网络犯罪的威胁大多数具有任意性,以大规模攻击为主,但是2016年出现或者说重现了一些针对金融机构本身的复杂的网络犯罪团队发起的攻击。这些犯罪技术通常都是高持续性威胁攻击。

例如 Dyre(Infostealer.Dyre) 背后有一个专门的团队针对金融大企业的客户,欺骗他们进行500,000美元甚至更多的交易。使用鱼叉式网络殿宇电子邮件感染目标对象,通过手机进行互动,利用精心打造的社会工程学策略成功的诱骗受害人进行交易。

另一个例子是Trojan.Redaman幕后的组织,他们侧重于远程操作银行系统。他们通常会收集小型和中型企业的交易支付问题,在月底之前把她们组合在一起。在被远程银行系统工具处理之前,Redaman木马会修改企业会计软件产生的批量的交易记录。这就使得攻击者可以很好的隐藏自己的交易。他们要做的是等待,直到用户提交批处理的请求。在一些攻击案例中,攻击者会安装一个修改过的远程访问工具VNC,允许攻击者链接到受感染的计算机,并进一步探索发起交易的其他可能。

还有一个典型的例子是Buhtrap组织,其攻击的第一步是分析目标是否安装了金融交易工具,如果目标属于他们感兴趣的范围,才会进一步的部署特定的有效载荷。这也就意味着大多数的沙盒软件不会受到最终的实际攻击载荷,因为它们没有安装任何财物软件。 据说Buhtrap组织在俄罗斯和乌克兰银行成功的盗窃了逾2500万美元。

对金融机构进行攻击,但是却没有欺诈交易,这种情况也是存在的。攻击者会尝试通过售卖偷盗来的信息获取利益、通过获得的内幕交易信息或勒索银行来获利。比如2016年11月份,报纸上报道了一则列支敦士登的消息,网络罪犯突破了银行的安全措施,获取了各类客户的帐号信息,随后客户收到勒索通知,要求他们支付账户余额的10%,否则就将他们信息公布在网上。

Carbanak 、Calcium (Fin7) 和 Metel 犯罪组织发起的一系列攻击事件表明,许多攻击者越来越重视企业目标。犯罪组织要么攻击目标的金融机构,要么直接攻击金融机构。

2016年,两个主要针对国际金融体系的内部流程进行攻击的组织备受关注,这暗示了金融机构在2017年将面对一个不同以往的威胁形势。

Lazarus

2016年初,孟加拉中央银行网络抢劫相当有名,罪犯盗走了8100万美元。 犯罪分子利用孟加拉中央银行的一个安全漏洞渗透到其系统内,入侵到了一台拥有SWIFT网络访问权限的计算机,这导致攻击者能够窃取银行操作员的凭据,进一步连接到SWIFT网络的消息传递接口进行欺诈交易。这不是由于SWIFT网络中的漏洞,因为攻击者只是利用了一个受信任的计算机,来发起欺诈交易。之后,犯罪分子用恶意软件来掩盖他们的行为轨迹,这个恶意软件用于修改银行打印交易的确认消息,有效的延长了欺诈交易被发现的时间。攻击者在一个周末发起了攻击,进一步减少了被发现的可能。

在这次攻击行动中使用的方法,特别是对银行SWIFT系统的深入了解以及掩盖攻击轨迹的步骤,都表明了攻击者相当的熟练和高明。这时一个令人难以置信的大胆的黑客,也是第一次有强烈迹象表明国家参与金融网络犯罪的案例,攻击与朝鲜有关联。

截止2016年年底,超过31个国家的100多家机构(主要是金融部门),遭遇了有针对性的水坑攻击。25个目标中,攻击的焦点集中在波兰,其次是美国和墨西哥。分析这些攻击中使用到的恶意软件,与Lazarus 组织的工具有很多相似之处。

Odinaff

2016年一场席卷全球金融机构的网络犯罪活动中,有一个相同的恶意软件,名为Trojan.Odinaff。

Odinaff攻击的流程,第一步是在网络上获取一个立足点。后续的攻击非常的复杂,需要大量的人工参与,有条不絮向特定电脑上部署一系列轻量级的后门和专用工具。Trojan.Odinaff通常利用包含恶意代码的文档进行传播,当然了也会使用到僵尸网络。攻击者对攻击活动进行了精心的管理,只有在需要下载和安装攻击时才会活动。

Odinaff和Banswift的这些攻击表明,尽管2016年多个攻击者依然是利用常规的攻击和技术进行攻击,如针对目标受害者的网络钓鱼攻击,但是存在着一些复杂的网络犯罪团伙,其专门针对金融机构实施高持续性威胁攻击。

病毒的感染、流行和分布

病毒载体

在过去的一年里,金融木马的感染载体并没很大的变化,并且与其他常见的木马相同。传播主要依赖于包含恶意附件和或Web漏洞利用工具包的垃圾邮件。

2016年传播金融木马最流行的方式是使用欺诈的电子邮件。Office文档附件和恶意的宏病毒依然被大量使用,于此同时,以微软Visual Basic脚本(VBS)和JavaScript(JS)文件作为附件的垃圾邮件也被用于传播恶意软件。我们还观察到了使用内嵌的OLE对象的文件,以及诱使用户去双击有效载荷的说明。2016年11月,Necurs 僵尸网络 (Backdoor.Necurs) 发送了超过1.8万JS下载量的恶意邮件。

一些组织反应迅速的采用新的漏洞,例如2017年4月10日,Dridex (W32.Cridex) 利用一个最近发现的微软Word的oday漏洞,感染了成千上万的用户。大批量的发送带恶意文件的电子邮件,当文件被打开,Dridex 变种病毒就会感染受害者的计算机。

另外还有一些组织关注社会工程学。我们观察到一些网络钓鱼邮件使用了个性化的名称,这些名称是从其他数据泄漏中获得的,更加具有欺骗性。一些欺骗性的电子邮件甚至由一些合法的知名电子邮件服务提供商(ESP)发出。瑞士的GovCERT指出,这样做可以增加这些邮件到达用户收件箱的机率。对Dridex而言,垃圾邮件的构建越有说服力,越容易导致恶意JS被下载。

把受害者诱骗到一个虚假的网站进一步欺骗他们透露账户细节,是以往大多数钓鱼邮件的套路。2017年3月,钓鱼邮件的比率下降为1:9138。2016年度,钓鱼邮件的平均比率高于1:3000。简单的网络钓鱼不再适用于大多数银行和金融机构,因为他们很少依赖静态密码。然而,网络钓鱼攻击仍然可以成功的窃取到网上用户的账户凭据和信用卡详细信息。

WEB漏洞利用工具包每年都会有很大的变化。2016年1月份Angler是最流行的漏洞工具包,到了3月份,Spartan排名第一;Angler反超的记录只发生过一次,在五月份;七月份,Neutrino工具包最活跃;其余的月份,RIG保持着第一名。2017年3月份,RIG的占比为13.6%,与2月份的25%相比略有下降,但依然领先于SundDown 和 Magnitude。2017年3月份,平均每天拦截584,000次攻击,他们大多数与金融木马和勒索软件有关。恶意广告页面活动的数量在2016年有所增加。

流行性

金融木马一直不断的在演变,2016年最活跃的木马家族是:Ramnit, Bebloh, Snifula, 和 Zeus 变种。

威胁家族的分布

每个国家检测到的金融威胁数量,很大程度上取决于黑客组织及其活动的时间段。某些威胁只在一个非常狭窄的地理位置上活动,并非在全球各地大范围的分布。而有一些组织的活动路线是跨越国境的。

在分析每个国家的金融威胁分布时,有两个比较突出的趋势:一是,发生在日本的金融威胁很多,2016年日本检测到的威胁数量增加了至少11倍,是全球受到金融威胁攻击最多的国家。二是,针对美国的袭击减少了26%,2016年排名第四位。

当然,金融威胁时一个全球性的问题,没有哪个国家是真正安全的。娇小的国家可能不会达到Top10的量级,但相对于其人口基数,风险仍然是巨大的。例如,IBM报告中提到2016年11月发生的Dridex攻击波,主要集中在拉脱维亚,这是一个在过去几乎没有受到过金融威胁重视的国家。

以日本为焦点的金融木马

在2015年的金融威胁报告中,我们就已经看到了针对日本的威胁高峰,并预测这个趋势将继续。2016年我们检测到更多的金融威胁发生在亚洲地区,包括日本、中国、印度、菲律宾和越南都在Top10之列。这表明,攻击者正在试图向这些较少受到保护的地区扩展。

在日本,至少有19家金融机构成为了Snifula 和 Bebloh 的攻击目标。这也是一件有趣的事,这两个恶意软件家族似乎使用了同样的web注入和相同的攻击目标列表。

不妨来单独分析一下这两类恶意软件。2016年Bebloh在日本的检测量占据了全球所有检测量的47%,其中2016年1月份五个最活跃的样本共计占全球所有检测量的93%,这五个样本在日本全年检测中共计占90%,到2016年12月,相同的五个样本依然占了全球所有检测量的0.6%。这表明攻击者改变样本的频率并不频繁,而且在运行最终载荷时并没有部署复杂的多样的软件包。

所有这些样本经常使用双重扩展文件名,伪装成扫描文件通过电子邮件的附件形式进行传播,如下所示:

| scan(2).doc.2016.01.20.PDF.exe

| scan01_doc_2015~jpeg.jpeg.exe

| IMAGE(1).15_02_2016_PDF_PNG.PDF.EXE

| image_n_(1) 20160217_PNG,PDF.png.exe

Snifula的情况比较类似,2016年12月,排名前五的Snifula样本共计占全球所有检测量的94%。与Bebloh相似,这些样本也通过垃圾邮件进行传播,经常使用如下的双重扩展文件名:

| MX_20161031_1530380.JPG.exe

| 43894370932861.html.exe

| IMG_20161020_095456~1.jpg.exe

| ID654093871066.PDF.EXE

战术、技术和程序

大多数金融木马会部署一套通用的模块来实施各种任务,如截图、录像、键盘记录、表单抓取、或者安装SOCKS 代理、利用远程访问工具来隐藏VNC服务器。许多攻击者会使用免费的SSL证书来保护他们的基础设施。一些Snifula (又称为 Vawtrak ) 甚至在其C&C服务器上使用了SSL协议进行通信,用以逃避监控。

当前的恶意软件经常会部署各种反调试的技巧,这无疑增强了对它们进行分析的难度。

使用Process hollowing技术注入系统进程仍然是恶意软件作者们常用的一个策略,另外利用动态API解析和检测用户态钩子的方法也常常被用于绕过安全工具的检测。

源代码的融合

金融恶意软件生态系统在不断的进化中。除了已经形成了一种服务模式之外,网络罪犯进入这一领域的门槛也大大的降低了,不断的有新的恶意家族被创建出来。由于有很多恶意软件的源代码被泄漏,攻击者很容易对它们进行修改、甚至融合用以创建新的恶意软件家族。这方面的例子包括 Goznym (Trojan.Nymaim.B),它是由Nymaim 、Gozi ISFB 和Floki Bot (Trojan.Flokibot)融合而来的,而Trojan.Flokibot是Zeus 的一个变种。

这种失控的演变是的很难明确的分辨出恶意代码的家族,因为新的变种可能是一个简单的演变,也可能是一个新组织创建的全新的分支。

沙盒逃逸

恶意软件制作者对其作品如何逃避自动化的分析工具的态度非常谨慎,因此虚拟机(VM)和沙盒检测已成为恶意软件的标准功能。我们在过去曾经报道过各种检测和绕过沙盒的方式。2016年,20%的恶意软件能够检测病识别出虚拟环境,2015年这个比率是16%。诸如Zeus 和 Dridex 这类恶意软件家族在虚拟环境下的行为更加的谨慎,相比而言,Snifula 家族的恶意软件就有点二了。

大多数脚本下载程序,能够通过延迟和环境检测识别出沙盒环境,需要的话会停止执行,及时的一些宏病毒。当然,绕过沙盒盒检测虚拟环境是两个不同的概念。Goznym 会检测系统当前的日期,要求必须接近恶意代码感染的实际日期,这就确保了只有新鲜的样本才会被执行,有效的阻碍了后续在虚拟环境下对样本的分析工作。

如果样本绕过网关并在受感染的计算机上执行,它通常会尝试去杀掉所有与安全工具相关的进程。有些样本甚至会破坏更新进程或者把自己添加到免杀列表中,最近分析到的 Dridex 变种就是这样做的。这些招数对赛门铁克的产品却是无用的。

远程桌面访问

攻击者在进行欺诈交易时,较常使用的一个方法是在受感染的计算机上打开一个远程桌面访问。一些攻击者只需要受害主机启用windows 远程桌面协议(RDP)允许他们进行连接就能发起攻击活动。某些Dridex 和 Ramnit 的恶意软件会部署一个VNC模块,使得攻击者实现对受害主机的远程控制。VNC本身是没有恶意的,通常被系统管理员用于合法的用途,但是这同时也为犯罪分析提供了一个进入隐藏的虚拟桌面的方式,使得其不法活动更加隐蔽。

这种攻击方式在对抗设备指纹的安全防护方面非常有效,因为攻击者正在使用受害者的计算机进行欺诈交易。因此,对于反欺诈团队而言,通过分析传输模式和交易历史,是发现这类攻击的唯一机会。

另外,这种方法也被用来检测受害主机是否是一个财物部门的机器。Dridex 和其他恶意家族的软件会利用远程虚拟桌面的方式检测受害主机上的软件,如果存在它们感兴趣的,比如安装了某一类财物软件,它们会继续实施下一步的攻击。

转移视线

网络犯罪经常结合多种攻击方式,创造烟雾弹,转移防护者的视线或注意力,来达到攻击的目的。在去年的白皮书中,我们讨论了攻击者如何利用拒绝服务攻击的方式,使银行疲于应付,从而清空客户的银行账号。Dyre 组织就曾经利用一个DDOS攻击打摊了一个银行的网上银行站点,使得客户无法获知其账号被黑客攻击的信息。在某些情况下,这种手法与针对客服热线的电话拒绝服务攻击类似。

根据维基解密最近泄漏出来的文件可知,具有国家背景的攻击者使用 Carberp 恶意软件源代码创建新的恶意软件变种。 去年的白皮书中,我们也提到一些 APT 组织正在使用Trojan.Zbot木马。这些网络犯罪工具包是相当复杂的,复制它们是有意义的。使用常见的恶意软件可以很好的隐藏攻击者的身份,使用Zbot 或者Carberp 这类大众恶意软件进行工具的活动,通常不会被深入调查。

Webinjects

采用Webinjects的方式进行活动,允许恶意攻击者修改浏览器显示给用户的信息(在其发送到服务供应商之前)。

过去,一个基于JavaScript 的 webinject 命令会被加密存储在本地计算机上,由一个特定的URL触发。目前大多数的 webinject 都可以从远程服务器上加载最终的有效载荷,允许根据特定目标进行动态调整。 比如,money mules 的账号是实时加载的,当一个账号存在阻碍时,会启用一个新的账号来替代。恶意代码执行过程中遇到的任何错误都会发送到恶意软件作者那里,作者可以根据金融机构实施的任何新的防御措施进行相应的调整。注入的脚步也可以模仿用户的行为,增加填写表单和提交表单动作的延迟,使得其操作更加逼真,更有欺骗性。

重定向的方法

由于越来越多的安全工具可以检测并阻止针对Web浏览器的注入,相当多的金融木马已经改变了它们的行为,试图逃避本地检测。它们尝试将网络流量重定向到攻击者控制的网站,而不在是在浏览器进行注入。虽然这种重定向流量的攻击是银行木马早期的一个伎俩,但它现在目前重新焕发了生机。2014年,Dyre 开启了重新关注流量重定向的第一波。

一些Ramnit 的变种已经开始建立自己的本地代理以便于通过它重定向网络流量。攻击活动依然需要在浏览器上注入一个模块以便能够重定向流量,但是使用不同的APIs。恶意软件可以使用钩子定住crypt32.dll的证书认证API,用来监听SSL通信和拦截用户的错误消息。

还有一种流行的方式是改变DNS服务器。除此之外还可以安装一个流氓证书用以抑制SSL告警。

通过修改本地的hosts文件也是一种好方法,可以设置新的DNS服务器、除刷新DNS解析缓存记录。还观察到有些案例中使用 Proxy Auto-Con- fig (PAC) 自动修改某些URL的浏览器的代理设置,或者使用PowerShell脚本来修改系统和浏览器的代理服务器和DNS设置。

IOT僵尸病毒的横冲直撞,使得攻击者知道了路由器是一个容易被攻破的目标。不仅可以用来作为DDOS攻击的武器,还可以通过简单的切换DNS服务器来执行MITM攻击。比如2016年10月,巴西银行在线网站被劫持长达五小时,这期间允许攻击者重定向客户到一个欺诈网站。

综上所述,受害者可能遭遇两类重定向攻击:一个攻击者伪造的网站,或者修改通信通道的透明代理。Webinjects的攻击流程更多的依赖于远程服务器,这给安全研究人员的分析工作带来了更多困难。

对攻击者而言,保持假冒网站的更新是他们很多人例行的工作,这点可以应付。不过一大缺陷是,银行的流量来自不同的IP地址(除非使用了本地代理),如果有太多流量来自同一个地址,容易引发怀疑。

会话劫持

一些在线服务只依赖于session tokens 或 cookies 进行初始的身份验证。一些攻击活动会窃取tokens信息并发送给C&C服务器。一个自动化的脚步可以使用窃取到的token信息登录到银行账号并发起交易。为了尽可能的模拟用户的浏览器,攻击者会克隆一个逼真的浏览器user agent和其他的身份属性信息(如屏幕分辨率等)。然而IP地址依然是不同的,为了绕过后台反欺诈系统的检测,攻击者通常会使用一个受害者计算机上相同浏览器的隐藏实例,或者安装一个代理并通过受害者计算机的反弹进行交易。

FileLess

金融木马中,FileLess的攻击手法越来越受欢迎,尽量保留较少的明显的入侵系统的痕迹是恶意软件的一个趋势。(FileLess的具体介绍可以翻阅文末【更多资料】里趋势科技的一篇技术分析文章)。2016年初,我们观察到Ramnit的一些变种使用装载的DLL通过SSL通道从互联网上下载实际的有效载荷,这本身没有什么新鲜的,不过有趣是的,下载的有效载荷被存储在一个windows注册表的某处(数据块经过了XOR 加密混淆)

窗口覆盖

一些小的恶意软件已经开始尝试窗口覆盖技术。在这种技术中,木马会等待用户访问特定的网上银行服务或打开一个银行专用的应用程序,然后创建一个假的窗口放置在原始窗口上面。在这一流程中,用户被要求输入他们的账号凭据,当然了这些信息都会被窃取。由于这种威胁不涉及浏览器交互,也不需要URL通知,因此不会收到相关的报警或警示。虽然这不是一种常见的基于桌面系统的威胁,但是这种方式在移动端的威胁比较广泛。

AtomBombing 注入

AtomBombing 是一种新的Windows代码注入技术。2017年初,我们观察到新版的Dridex中使用了这种技术。我们对AtomBombing的研究已经持续了一段时间了,但这是我们第一次看到这种技术被金融木马所使用

社会工程学攻击

社会工程在大多数的金融威胁活动中都发挥了重要的作用,无论是在感染阶段还是在攻破多因素认证环节。也存在一些攻击,不需要任何恶意软件,只需要社会工程就可以达成。我们之前谈论过EBC(business email compromise) 方式的攻击,这种攻击中骗子只是通过发送电子邮件,试图说服财务部门赚钱给他们。EBC诈骗中的社会工程学策略也在不断的演变。

针对ATM、POS机和手机的攻击

ATM和POS机

针对ATM和POS机的攻击在2016年持续攀升。威胁种类有:Ploutus (Backdoor.Ploutus), Flokibot, Trojan.Skimer, FastPOS (Infostealer.Fastpos), Infostealer.Poslit, Infostealer.Donpos, Infostealer.Jackpos, Infostealer.Scanpos, 以及Backdoor.Pralice。随着芯片和PIN的使用范围已经从欧洲蔓延到全球,以前的经典memory scraping恶意软件的威胁事件越来越少了(memory scraping是指一类通过检查内存搜索敏感数据的恶意软件)。

与ATM机有关的攻击涉及不同层次的复杂度。有些攻击者利用偷盗来的钥匙或强行撬开的方式打开锁,获得物理访问ATM的机会后,攻击者会通过USB接口或CD-ROM安装一个恶意软件,并附带一个键盘发送恶意指令(Ploutus恶意软件就使用这种方式进行攻击)。

另外还有一种针对ATM机的攻击方式,2017年4月份有一起相关的报道,一些攻击者发现他们可以通过ATM外壳的一个洞访问到其内部总线系统,一旦获得总线系统的访问权限,附加一个可以发送命令的廉价的微型计算机,就可以使ATM机吞吐出现金。

针对ATM机和POS终端的攻击也可以不需要物理访问。2016年11月,FBI发出告警称Buhtrap入侵到金融机构的内部网络,并通过向ATM机发送命令达到盗取金钱的目的。台北警方估计,这起网络攻击可能损失约3亿美元。在另一个案例中,攻击者能够在多个自动取款机中安装ATMitch恶意软件,损失现金至少800,000美元。

对于POS终端而言,上述远程攻击方式同样适用。例如 Trojan.Flokibot 在电脑端处理POS机的支付卡交易数据。攻击者使用鱼叉式网络钓鱼电子邮件入侵受害者的电脑,然后使用TeamViewer 和 Ammyy Admin 软件远程控制受感染的计算机,并执行进一步的攻击活动。

2016年8月,一些POS终端软件供应商的网站被攻破。据报道,攻击者利用盗取的信息可以对各个零售商使用的POS系统进行远程控制。这一发现促使了供应商宣布受影响的系统需要重置密码以保护账号安全。

安卓平台的金融威胁

由于手机银行APP通常会使用双因素认证(2FA),网络犯罪份子不得不使用社会工程学或攻击移动平台的方式绕过2FA的限制。在过去的几年中,Android 手机上的金融恶意软件已经变得越来越普遍了,不过与windows平台相比,移动端金融恶意软件的感染数量和种类还是比较少的。

2016年,检测到的移动端恶意软件的数量约为720万,增长了29%左右。一半以上的移动端恶意软件中与恶意下载相关,如Android.MalDownloader。除了背后发送恶意收费短信和勒索软件外,金融恶意软件是移动端面临的第三个最常见的威胁类别。除了一些需要特殊权限的漏洞利用外(允许恶意软件从浏览器或其它应用程序中窃取缓存的密码信息),大多数移动端恶意软件不需要root权限。这个有一个常见的策略,那就是反复的弹出类似”设备管理激活”提示的对话框,直到用户向应用程序授予管理员权限位置。

2016年1月份和2月份之间,超过20%的移动恶意软件包的使用率增加了一倍以上,增长的幅度有点失控。

恶意软件的感染通常包括了社会工程学的手段,发送带有恶意链接的钓鱼网站把用户导向一个伪装成合法APP的恶意应用软件。恶意软件另一个分发途径是被入侵的网站,比如伪装成一个视频播放器软件,诱使用户下载安装以便观看视频内容。用户经常会忽略安全警告而自愿安装恶意应用程序。对用户而言,在安装的过程中仔细阅读应用程序所请求的权限仍然是最有效的保护方式之一,不过现在已经有一些应用程序开始采取延迟请求权限的策略,以便后续实施更多的社会工程学攻击。

恶意应用不仅是第三方应用程序商店上发现的问题,在Google Play Store上也检测到很多受感染的应用程序,这种趋势仍将继续。例如2017年2月,Google Play Store上有一款名为“Good Weathe” (好天气)的应用,是Android.Fakebank.B的变种伪装而成的,这款应用大约有5000个用户下载。

Android操作系统不断在变化,与此同时,攻击者也不断的调整攻击方法和战术。移动端金融恶意攻击主要的方法包括短信和电话转发、虚假表单覆盖、信息窃取,以及伪造银行APP等。

虚假表单覆盖仍然是一个常见的策略,虽然Android6.0版本为恶意软件制作者使用这一方法增加了难度。类似于PC端的威胁,移动端的威胁可以从APP对应的远程C&C服务器或用户访问过的网站上动态地下载覆盖表单,这个虚假的覆盖表单可以窃取用户的登录凭据或者要求用户提供额外的信息(如信用卡的详细信息等)。

移动金融恶意软件的活动针对非金融类的应用程序,如社交媒体应用程序或聊天应用程序。例如,我们观察到一些Android. Fakebank.B的变种(又被称为Marcher)的攻击目标超过了125个不同的机构。有些时候,攻击者会假装成银行发送一些要求用户验证欺诈交易的文本信息,这会创造一种紧迫感,促使用户尽快的登录到金融类的应用程序上。

Android.Fakebank.B 使用到的另一个策略是把自己添加到电池优化的例外白名单列表里,所以当手机进入省电模式,木马就可以绕过Android 6.0 种新特性的限制,允许木马程序与其C&C服务器保持连接。三月份Android.Fakebank.B家族的木马利用了呼叫限制功能,恶意软件可以阻止任何在预定义的客户服务号码列表中的电话呼叫,这一功能使得用户更佳难以核实或取消与金融机构相关的可疑交易。这一功能与windows平台上的Shylock恶意软件的手法相似,在受感染的计算机上当用户访问银行网站时,Shylock恶意软件会修改银行客户支持的电话号码。

有时攻击者使用简单的伎俩来实现它们的目的。2016年初,Android.Bankosy添加了一个简单的技巧用以拦截2FA令牌的语音(银行发给用户的一个合成的语音,内容是2FA的验证信息)。木马增加了一个呼叫转移功能,使用了特殊的服务代码21[DESTINATION NUMBER]#,这段代码被许多电话运营商支持),一旦被激活,从银行发来的信息会转到攻击者控制的VOIP号码上,攻击者通过2FA验证后继续执行欺诈交易。

“ crimeware-as-a-service”的模式也适用于移动恶意软件。比如,2016年有一个名为Exo Android Bot 的木马在论坛上大量发放广告,作者承诺其制作的恶意软件可以拦截短信、虚假表单覆盖功能,24/7提供技支持,服务价格为每周400美元或每年3000美元。威胁的焦点当然是金融类的应用程序。

防护措施

金融行业需采取多层级的安全防护措施。绿盟科技针对金融业行业的威胁提出“三步走”策略:

事前监测:业务流程风险分析、环境脆弱性评估、系统状态实时监测

事中处理:协调和反馈、应急响应、第三方合作、控制和恢复

事后整改:分析和调查、案例总结、专项整改、培训和教育

预防病毒入侵依然是最重要的环节。电子邮件和受感染的网站是最常见的病毒感染渠道。对这两种渠道采取强有力的防御措施将有助于降低安全风险。

绿盟科技针对互联网金融的主要威胁,建议相应的防护手段有:

  • 访问控制(如防火墙)用于应对外部攻击
  • 远程接入管理(如VPN)用于应对非授权接入
  • 入侵检测(IDS)用于应对外部入侵和蠕虫病毒
  • 流量监测和清洗设备用于应对大流量拒绝服务攻击
  • 网站安全检测,实时监测网站运行状态,钓鱼网站及挂马情况等
  • Web应用防火墙(WAF)用于应对基于web应用的攻击,如跨站脚本、SQL注入等攻击
  • 对服务器和网络设备的安全基线配置及核查
  • 对服务器和网络设备的漏洞扫描
  • 对重要操作行为进行告警式记录,发现后及时审核已确认操作的合法性

另外,为了避免金融威胁对个人造成损失,绿盟科技对个人用户有如下建议:

  • 在网上银行进行交易时一定要倍加防范,尤其是银行页面更替的时候
  • 收到可疑邮件不要盲目点击,做到三思而后行
  • 及时更新安全软件和操作系统
  • 启动高级账户安全功能,例如双因子验证或者登录提醒
  • 使用强密码
  • 对话结束记得注销账户
  • 定时监控账户信息
  • 发现不妥及时通知银行
  • 警惕微软Office附件中提示用户启用宏的现象

 

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论