近日,趋势科技 (中国区) 收集安然监测尝试室(CRTL)最新监测到数起针对国内金融行业的APT(Advanced Persistent Threat,高级延续性威胁)报复打击事务。该威胁改变多端,会致利用户首要信息数据泄漏。趋势科技经由过程检测BKDR_CORUM家族、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用检测TROJ_GENERIC.APC等歹意病毒,今朝将此威胁定名为“证券鬼魂”。趋势科技出格提示金融行业用户需要做出应急响应,评估内部收集风险,谨防韩国金融行业APT报复打击事务的“翻版”。
CRTL研究表白,“证券鬼魂”歹意威胁具有了加倍典型的APT报复打击特点,对准银行、证券等更具报复打击价值的企业收集,并首要针对IT治理人员的终端、域控、DNS办事器、收集安然和营业治理软件办事器。其传染路子可以经由过程收集共享、或由其他病毒及被窜改后的第三方软件传播释放,但“证券鬼魂”进进企业内网后不会当即大年夜范围传播,反而会暗藏下来,并寻觅其他更具价值的数字信息和替代者。
趋势科技(中国区)手艺总监蔡昇钦暗示:“该威胁极具‘智能’,针对金融行业IT治理人员和收集办事节点办事器进行报复打击,并寻觅网内软件的缝隙进行全网节制。因为蒙受报复打击的人员和办事器节点权限极大年夜,病毒报复打击的特点将被视为正常通信和授权把持,厥后续可能酿成的数字资产泄漏风险不成估计。一旦周全触发,金融用户将面对汗青上从未遭受过的沉重冲击。已摆设趋势科技TDA的用户,将能从威胁预警和趋势科技陈述信息中第一时候发现该病毒的收集歹意通信行动和传染源。而其他企业,出格是证券和基金类公司,建议治理员该当即启动IT风险治理流程、有针对性的排查此次APT报复打击释放的歹意法度代码。”
据体味,该病毒“躲匿颇深并比较奸刁”,还具有:隐躲文件真正路径、为歹意DLL文件找“替身”、歹意软件完全性监测、捏造软件版本信息、免杀和断根日记等特点。此前,趋势科技在事前经由过程TDA 的开导式侦测与沙盒动态阐发提示,监测出韩国APT报复打击相干邮件中的歹意附件,并利用定制化防御策略,帮忙趋势科技的韩国客户事前发觉并采纳防护办法,成功抵当了黑客报复打击。而趋势科技TDA防御系统,也将会为其在国内金融用户防备APT过程中扮演不异的角色。
趋势科技作为全球办事器安然、虚拟化及云计较安然带领厂商,已联袂国内金融客户成功反对多次APT报复打击的趋势科技,帮忙用户摆脱了以特点码为主的传统安然产品的局限性。而针对“证券鬼魂”歹意威胁,用户也没必要在后面“苦苦追逐”。趋势科技建议:利用趋势科技防病毒客户端的客户,进级到最新病毒码,便能主动断根今朝该歹意软件的所有变种。而未采取TDA产品和非趋势科技防病毒客户端的用户, 需要针对以下关头信息进行“自查”,或可利用趋势科技供给的ATTK扫描病毒并汇集信息,寻求趋势科技工程师的帮忙。
最新一轮的金融行业APT报复打击威胁澎湃袭来,趋势科技供给的以下手艺细节可以帮忙用户查找“证券鬼魂”存在的可能性:
1、部门特点表示
操纵反向连接办艺连接到节制办事器的443端口,实现后门功能;
利用安然软件,在方针计较机上成立用户,并打开共享,再操纵长途打算任务启动;
经由过程Winlogon的Notify和Service编制自启动,部门变种会替代系统的DLL;
在文件系统中成立Junction,将系统DLL复制成和歹意DLL同名,用于混合用户 ;
在注册表中成立briefcase.server的键值,用于记实状况、建设和备份信息。
2、若何鉴定是不是遭到威胁:
利用趋势科技TDA能有效发现内网中被进侵的计较机和病毒的收集行动;
今朝我们发现传染该歹意软件的主如果金融行业的用户,出格是证券和基金公司。建议这些公司进行查抄;
对收集流量进行阐发,发现异常的收集流量,出格长短工作时候的收集拜候或周期性地拜候不异的网站;
对内网的通信进行阐发,找到异常的端口通信;
对域登录记实进行阐发,找到异常的登录或暗码猜想行动;
假定思疑遭到威胁,建议将查抄重心放在办事器网段和对办事器有治理权限的IT人员。出格是域控、文件办事器、安然软件办事器等;
查抄计较机是不是存在HKCR\Briefcase.server注册表项目;
查抄系统中是不是有被重定名的系统文件,是不是有异常的reparse point到System32目次。