返回新闻列表

安全事故调查:解密金融网络攻击谜团

        一家来自俄罗斯的公司联系卡巴斯基实验室,邀请我们调查一起安全事故。在这起安全事故中,该公司企业账户中超过130,000美元险些被盗走。该公司的企业代表怀疑此次事件与恶意软件有关。我们在第一天的调查中就证实了上述猜测。

  • 网络罪犯向该公司发送了一封伪装成来自税务局的电子邮件,其包含恶意附件,从而感染了公司的计算机;
  • 为了远程访问企业网络中的会计人员计算机,用户使用了合法程序的修改版本;
  • 网络罪犯使用了一款恶意软件窃取钱财。该恶意软件包含银行木马Carberp元素,而Carberp的源代码目前已经被公开;
  • 网络罪犯在配置命令和控制服务器时犯了一个错误,这让卡巴斯基实验室的专家发现了其他受感染计算机的IP地址,并提醒这些计算机所属企业当心此类威胁。

        为该公司提供服务的银行冻结了这笔130,000美元的交易。但是,网络罪犯仍然成功进行了一笔金额为8,000美元的支付。这是由于支付金额太小,无法引起银行的警惕,而且数额较小的交易也无需客户机构的会计人员确认。

        漏洞利用程序。卡巴斯基实验室全球紧急响应团队(GERT)的安全专家从受攻击组织获得了被攻击计算机的磁盘镜像。在对其进行分析后发现,磁盘中有一封声称来自国家税务局的可疑电子邮件邀请企业立即提供一些文件,文件列表以Word文档附件形式提供。该文档被CVE-2012-0158漏洞利用程序感染,一旦打开文档就会激活漏洞利用程序,下载另一种恶意程序至用户计算机。

        两个木马。在受感染计算机的硬盘上,GERT的专家还发现了一款用于远程访问计算机的修改版合法程序。这款程序通常被会计人员或系统管理员使用。但是,在受感染计算机上发现的程序版本经修改能够在受感染系统上隐藏自身痕迹:它在Windows任务栏的图表被隐藏,存储在注册表键值中的设置也被修改,而且图形界面也被关闭。卡巴斯基实验室产品将这一程序拦截,并将其检测为“Backdoor.Win32.RMS”。

        但是,这并非在受感染计算机上发现的唯一一款恶意程序。进一步调查还发现,受感染计算机上还包括另一款名为Backdoor.Win32.Agent的恶意程序。这种恶意程序是由Backdoor.Win32.RMS下载至计算机上。网络罪犯利用这款恶意程序获取远程访问虚拟网络计算(VNC)权限,访问受感染计算机。值得注意的是,我们在Backdoor.Win32.Agent的代码中发现了银行木马Carberp的元素,而Carberp的源代码在今年初就已经被公开

        通过Backdoor.Win32.RMS的帮助,网络罪犯可以下载Trojan Backdoor.Win32.Agent至受害计算机。利用Backdoor.Win32.Agent后门程序,网络罪犯可以控制计算机。这样,网络罪犯利用远程银行系统策划了一起非法支付订单,并使用会计人员的计算机进行了IP地址验证,取得银行的信任。但是,网络罪犯究竟如何获取会计人员的支付密码?安全专家继续调查,在受害计算机上发现了另一款名为Trojan-Spy.Win32.Delf的恶意程序。这是一种键盘记录程序,能够拦截通过键盘输入的数据。通过这种手段,网络罪犯窃取了会计人员的密码,从而进行非法交易。

        新的受害者. 在调查接近尾声时,安全专家发现了另一个奇怪的事实。攻击所用到的全部恶意程序由属于同一子网IP地址的命令和控制服务器进行管理。网络罪犯在筛选子网地址时犯了一个错误。卡巴斯基实验室的安全专家从而发现了感染Trojan-Spy.Win32.Delf的其他计算机的IP地址。大多数情况下,这些地址均属于中小型企业的计算机。卡巴斯基实验室立刻通知了这些受感染计算机所属企业,警告他们注意这类威胁。

        “虽然这起安全事故发生在俄罗斯,但是从技术角度来看,这类攻击是不分国家的。事实上,这类网络犯罪行为在不同国家之间区别很小。全球范围内,大多数公司都会使用Windows和Microsoft Office,而这些程序可能会包含未修补的安全漏洞。同样,不同国家企业的财务部门通过网银与银行进行交易时所采取的手段也大同小异。这让网络罪犯通过远程银行系统窃取钱财变得更为容易”,卡巴斯基实验室全球紧急响应团队恶意软件分析师Mikhail Prokhorenko说。

        为了减少企业账户资金被盗的风险,卡巴斯基实验室安全专家建议使用远程银行系统的企业建立一套可靠的多因素认证措施(包括支付凭证以及银行提供的一次性密码等),确保安装在企业计算机上的软件即时更新(尤其是财务部门所使用的计算机),为计算机安装安全解决方案,培训员工如何识别攻击迹象,在遇到攻击时能够做出正确的反应。

        请访问Securelist.com,参阅Mikhail Prokhorenko发表的文章,了解更多有关此次卡巴斯基实验室调查的安全事件详情。