金融機構(gòu)需要迅速采取行動,在數(shù)字金融的新時代進行安全保護。為了了解更多關(guān)于他們?nèi)绾伪WC安全的信息,行業(yè)媒體為此采訪了Deep Instinct的威脅情報團隊負責(zé)人Moshe Hayun。
為什么金融行業(yè)如此成為網(wǎng)絡(luò)攻擊者的熱門目標,以及哪些惡意軟件家族對該行業(yè)的大多數(shù)攻擊負責(zé)?
Hayun:只要有利可圖,就會有網(wǎng)絡(luò)犯罪分子。這并不一定意味著他們像數(shù)字銀行劫匪一樣清空賬戶和搶劫虛擬金庫。網(wǎng)絡(luò)犯罪分子與傳統(tǒng)騙子不同,金融機構(gòu)持有的數(shù)據(jù)極其敏感,因此很具價值。在勒索軟件攻擊過程中,這些信息可能會被竊取、出售或加密,并且只有在受害者同意支付贖金時才能贖回或解鎖。
當(dāng)人們談?wù)搻阂廛浖易鍟r,不是在談?wù)撓窈谑贮h這樣的犯罪家族,而是旨在執(zhí)行特定任務(wù)或攻擊的不同類型的惡意軟件。金融行業(yè)應(yīng)該特別關(guān)注五個惡意軟件家族。
第一個是Dridex,它是一個高度活躍的銀行木馬家族,是一個將惡意代碼偽裝成合法文件的惡意軟件。顧名思義,使用木馬程序旨在潛入企業(yè)的防御系統(tǒng)。它是2011年首次觀察到的一個惡意軟件家族的一部分,當(dāng)時它的前身Cridex首次被用來竊取銀行信息以進行欺詐交易。2014年確定了Dridex的第一個版本。從那時起,它已成為最臭名昭著的金融惡意軟件家族之一。
金融部門應(yīng)該關(guān)注的第二個惡意軟件家族是Trickbot,這是一種復(fù)雜的惡意軟件形式,用于針對個人、企業(yè)和大型企業(yè)竊取金融數(shù)據(jù)、個人信息和銀行賬戶憑證。一旦獲得這些信息,它就可以用于進行財務(wù)欺詐和身份盜竊。
Trickbot于2016年首次出現(xiàn)。它使用附在電子郵件中的誘殺文件進行傳播。Trickbot的模塊化特性使其可以針對每個活動進行快速修改,使其能夠發(fā)展新的攻擊技術(shù),并使其更難被發(fā)現(xiàn)。
IcedID是另一種模塊化銀行木馬程序,近年來針對英國和美國的金融業(yè)務(wù)部門進行攻擊。它攻擊了銀行、電子商務(wù)公司和信用卡公司,它就像蠕蟲病毒一樣工作,這是一種旨在復(fù)制、傳播和感染更多系統(tǒng)的惡意軟件。在一臺機器上執(zhí)行時,IcedID會傳播給其他機器,并使用簡單的規(guī)避技術(shù),例如僅在機器重啟后操作,使其更難以識別和擊敗。
排名前五的金融惡意軟件家族中的第四個是Zloader,這是一種銀行木馬,是臭名昭著的Zeus銀行惡意軟件的變種。它分布在網(wǎng)絡(luò)釣魚活動或欺騙性電子郵件中,旨在誘騙受害者下載,并執(zhí)行惡意軟件。
QakBot是金融部門關(guān)注的第五個惡意軟件家族。它主要竊取信息,自從2009年首次出現(xiàn)以來就受到網(wǎng)絡(luò)攻擊者的歡迎。它擅長竊取網(wǎng)上銀行憑證或其他財務(wù)信息,可以竊取個人數(shù)據(jù)甚至記錄受害者的擊鍵行為。
這些威脅參與者在進行勒索軟件攻擊時最常用的技術(shù)是什么?
Hayun:每個惡意軟件家族都使用不同的技術(shù)來實現(xiàn)犯罪目標。惡意宏是一種常見的策略。這意味著威脅參與者將惡意代碼隱藏在Word文檔或其他文件中,當(dāng)人們打開它們時,這些文件就會執(zhí)行。Dridex使用惡意電子郵件附件,其中包含帶有危險宏的Word文檔或加載了JavaScript的PDF。在成功感染后,Dridex將收集密碼、銀行信息、信用卡詳細信息和其他敏感數(shù)據(jù),然后將這些數(shù)據(jù)傳輸?shù)街笓]與控制(C&C)服務(wù)器。另一種形式的Dridex可以從加密貨幣錢包中竊取憑證。
Trickbot還竊取憑據(jù),但在各種活動中開發(fā)了許多不同的功能。它為犯罪分子提供了進入受害者網(wǎng)絡(luò)的后門,并可以收集電子郵件。該惡意軟件家族還擁有一個屏幕鎖定、勒索軟件風(fēng)格的選項,旨在竊取系統(tǒng)密碼。
欺詐和欺騙是網(wǎng)絡(luò)犯罪分子的常用手段。IcedID可以操縱受害者的瀏覽器,因此他們認為他們正在查看一個真正的銀行網(wǎng)站,并配有有效的SSL證書,而他們實際上已被重定向到一個旨在竊取憑據(jù)的虛假網(wǎng)站。
ZLoader使用Excel宏和其他技術(shù)(包括鍵盤記錄)來竊取用戶信息。它最重要的功能之一是在受感染的機器上安裝虛擬網(wǎng)絡(luò)計算(VNC)服務(wù)器,從而使網(wǎng)絡(luò)攻擊者可以遠程訪問。Qakbot通過惡意垃圾郵件和通過受感染網(wǎng)站部署的漏洞利用工具包進行傳播。如果受害者訪問該站點,QakBot會傳送其有效負載并感染他們。
為了盡可能規(guī)避安全檢測,威脅參與者還學(xué)會了通過使用LOLbins和PowerShell來避免檢測。LOLbin是Windows上預(yù)安裝的庫,網(wǎng)絡(luò)攻擊者使用它們來幫助執(zhí)行惡意操作。PowerShell還預(yù)裝在每個Windows7操作系統(tǒng)上,這使其成為后期利用的理想工具。通過在操作系統(tǒng)中使用PowerShell和其他庫,網(wǎng)絡(luò)攻擊者可以在針對金融機構(gòu)時保持警惕,使其成為他們理想的威脅方法。
端點檢測響應(yīng)(EDR)解決方案在金融行業(yè)中很常見,那么為什么它們還不夠?
Hayun:端點檢測和響應(yīng)(EDR)旨在提高網(wǎng)絡(luò)和系統(tǒng)入口點的安全性。根據(jù)調(diào)研機構(gòu)發(fā)布的一份研究報告,這是一種流行的安全形式,到2026年,在這項技術(shù)上的全球支出將翻一番,將達到25億美元以上。
但是,它有一些嚴重的局限性,這意味著企業(yè)應(yīng)該尋求更好的保護。端點檢測和響應(yīng)(EDR)使用自動化來檢測使用數(shù)字簽名的安全威脅。這對于查找已知威脅很有用。然而,威脅迅速發(fā)展,我們看到多態(tài)惡意軟件的增加,隨著它的復(fù)制和傳播而改變其外觀。一些已知感染速度最快的惡意軟件會在15秒內(nèi)感染端點,而端點檢測和響應(yīng)(EDR)解決方案在防止即時和未知威脅方面沒有用處。與其相反,一旦惡意軟件已經(jīng)存在系統(tǒng)中,端點檢測和響應(yīng)(EDR)就會檢測到惡意軟件,因此為時已晚,因為很可能已經(jīng)造成損壞。
此外,端點檢測和響應(yīng)(EDR)解決方案經(jīng)常會產(chǎn)生大量錯誤警報,這是一個嚴重的問題。當(dāng)安全人員調(diào)查非威脅時,他們可能會錯過重大威脅。端點檢測和響應(yīng)(EDR)也是安全立場的一部分,涉及在網(wǎng)絡(luò)攻擊發(fā)生后對其進行檢測。這是一個次優(yōu)的解決方案。
深度學(xué)習(xí)如何幫助保護企業(yè)免受這些金融惡意軟件家族的侵害?
Hayun:端點檢測和響應(yīng)(EDR)使用自動化技術(shù),深度學(xué)習(xí)是下一步。深度學(xué)習(xí)解決方案就像人腦一樣可以在出現(xiàn)變體時識別它們,然后在它們進入網(wǎng)絡(luò)時阻止它們執(zhí)行。該技術(shù)經(jīng)過數(shù)百萬個原始數(shù)據(jù)文件的獨立訓(xùn)練,這意味著它能夠防止最復(fù)雜和高級的網(wǎng)絡(luò)威脅,無論它們是未知的還是零日威脅。深度學(xué)習(xí)在20毫秒內(nèi)停止勒索軟件和其他惡意軟件的預(yù)執(zhí)行。任何人工或人工技術(shù)都不可能以這種速度和準確性水平處理數(shù)據(jù)。這項技術(shù)并不是簡單地等待攻擊發(fā)生,然后幫助防御者消除損失。它是主動的,超越了原有的“檢測和響應(yīng)”模式,轉(zhuǎn)向“預(yù)防和保護”的安全態(tài)勢。
網(wǎng)絡(luò)犯罪分子一直在開發(fā)和設(shè)計針對受害者的新方法,惡意軟件現(xiàn)在可以高速發(fā)展以躲避傳統(tǒng)防御。因此,企業(yè)需要實施將重點從緩解轉(zhuǎn)移到保護的解決方案。深度學(xué)習(xí)是針對復(fù)雜惡意軟件日益增長的更智能解決方案。
深度學(xué)習(xí)旨在與現(xiàn)有的安全堆棧集成,因此企業(yè)可以避免更換現(xiàn)有技術(shù)的麻煩。除了加強企業(yè)的安全態(tài)勢外,深度學(xué)習(xí)還有助于簡化流程并釋放員工的時間。例如,一旦集成,該技術(shù)將安全團隊每周收到的警報數(shù)量減少25%或更多。因此,在誤報上浪費的時間更少。
為了應(yīng)對針對金融部門面臨的安全威脅,企業(yè)必須采用能夠真正幫助防止遭受網(wǎng)絡(luò)攻擊和惡意軟件侵害的技術(shù)。如果更多的金融機構(gòu)實施預(yù)防性解決方案,那么網(wǎng)絡(luò)犯罪分子成功實施攻擊的機會就會減少,這樣金融行業(yè)會更加安全。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號