黑客消息：大規模攻擊將襲港、金融業首當其衝（內附找出証券幽靈建議）

「可靠情報顯示，黑客團隊已瞄準香港、國內金融業，並將會在短期內發動大規模攻擊。」

相信大家仍記得早前的南韓網絡攻擊事件，對南韓機構所造成的傷害，到現時仍未 100％ 復原。而針對南韓的大型攻擊，黑客所利用的方式被稱為 APT 攻擊，而同樣的攻擊手法亦多次被黑客採用，由於 APT 攻擊本身均是精心部署的計劃，因此只要背後擁有一定「實力」，例如基建強、彊屍團隊大，再加上巧妙的布防，攻擊定必成功。

而類似南韓的攻擊方式正被黑客使用，而且根據剛剛收到，由安全機構趨勢科技網絡安全監測實驗室（CRTL）監測到的數據顯示，網絡上已出現數件針對國內金融行業的 APT（Advanced Persistent Threat，進階持續性威脅）攻擊事件。該威脅變化多端，會導致用戶重要數據泄露。安全機構通過檢測 BKDR_CORUM、TSPY_GOSME、TROJ_JNCTN 及 TROJ_GENERIC.APC 等惡意病毒家族，目前將此威脅命名為「証券幽靈」。安全機構提醒金融行業用戶需要做出應急措施，評估内部網絡風險，慎防韓國金融行業 APT 攻擊事件翻版。

CRTL 研究表明，「証券幽靈」威脅擁有更典型的 APT 攻擊特點，瞄準銀行、証券等更具攻擊價值的企業網絡，並主要針對 IT 管理人員的終端、域控、DNS 伺服器、保安和業務管理系統伺服器。其感染途徑可以通過網絡共享、其他病毒及被篡改後的第三方軟件傳播，但「証券幽靈」進入企業網絡後不會立即大規模傳播，反而會潛伏下來，並尋找其他更具價值的數據和替代者。（由於香港金融界在國內的業務日多，故必須留意此事件的發展，以免受到攻擊。）

安全機構專家侯振業指出，該威脅極具智能，針對金融行業 IT 管理人員和網絡服務節點伺服器進行攻擊，並尋找網内軟件的漏洞進行全網控制。由於受攻擊人員和伺服器的權限極大，攻擊的特徵將被視為正常通訊和授權操作，其可能造成的數據洩露危機實難以估計。一旦全面觸發，金融用戶將面臨前所未見的沉重打擊，專家建議管理層應立即啟動 IT 風險管理流程、有針對性的徹查此次 APT 攻擊釋放的惡意程序代碼。

據了解，該病毒藏匿頗深並比較狡猾，還具有隱藏文件真正路徑、為惡意 DLL 文件找替身、惡意軟件完整性監測、偽造軟件版本信息、逃避剷除和清除日志等特性。專家建議用戶需要針對以下關鍵訊息進行「自我檢查」，或者可以使用趨勢科技提供的 ATTK 掃描病毒並收集訊息，及尋求趨勢科技工程師的幫助。

最新一輪的金融行業 APT 攻擊威脅洶湧來襲，以下是「証券幽靈」存在的可能性：

1. 部分特徵表現
– 利用反向連接技術連接到控制伺服器的 443 端口，實現後門功能；
– 使用保安軟件，在目標電腦上創建用戶，並打開共享，再利用遙距計劃任務啟動；
– 通過 Winlogon 的 Notify 和 Service 方式自啟動，部分變種會替換系统的 DLL；
– 在文件系统中創建 Junction，將系统 DLL 複製成和惡意 DLL 同名，用於混淆用戶；
– 在註册表中創建 briefcase.server 的鍵值，用於記錄狀態、配置和備份訊息。

2. 如何判斷是否受到威脅：
– 目前發現感染該惡意軟件的主要是金融行業的用戶，特别是証券和基金公司。建議這些公司進行檢查；
– 分析網絡流量尋找異常的流量，特别是非工作時間的網絡訪問或者周期性地登入相同的網站；
– 分析内網的通訊，尋找異常的端口通訊；
– 分析網域登錄記錄，尋找異常的登錄或密碼猜測行為；
– 如果懷疑受到威脅，建議將檢查重心放在伺服器網段和對伺服器有管理權限的 IT 人員。特别是域控、文件伺服器、保安伺服器等；
– 檢查電腦是否存在 HKCR\Briefcase.server 註册表項目；
– 檢查系統中是否有被重新命名的系統文件，是否有異常的 reparse point 被置於 System32 目錄。

上述的檢查只屬於基本的工序，假如大家需要作更深入的預防工作，可電郵致 editorial (AT) HKITBLOG，我們將盡能力為你提供建議。