在植入木馬程式之後,除了竄改SWIFT程式之外,甚至會修改轉帳的對帳資訊,也因此不容易察覺這種異常的轉帳事件。
針對SWIFT等重要系統,我們建議參考下列防護措施:
- 在SWIFT系統上執行自我檢查檢查否有異常檔案、異常連線
- SWIFT資料庫是否有大量失敗事件
- 系統日誌是否有應用程式的錯誤事件與異常登入事件
- 主動偵測異常程式或檔案
- 利用白名單系統(如SafeLock)可以主動偵測是否有異常的程式被執行起來。或是檔案異動監控系統(如DeepSecurity),可以主動偵測是否有不正常的檔案被寫入重要目錄中。透過這類主動偵測,可以及早發現駭客入侵的跡象。
- 監控駭客內網擴散的活動
在SWIFT系統上,透過DeepSecurity的DPI功能,偵測駭客內網擴散的活動或行為,以此次銀行攻擊案例來說,駭客透過遠端排程工作,在目標主機上建立排程工作。此類內網擴散的攻擊事件可被DeepSecurity或DDI(Deep Discovery Inspector)偵測。 除此之外,跟SWIFT同網段的電腦也必須監控是否有異常的活動,一旦同網段電腦被入侵,SWIFT系統的風險也會大增。透過DDI(Deep Discovery Inspector)過濾重要網段的流量,除了可以偵測內網擴散活動,也可以偵測C&C連線,以及惡意程式的傳送。
- SWIFT等重要系統應在隔離網段作嚴密保護
由於SWIFT系統的重要度極高,也因此安全的措施也應相對提高,建議可以考慮下列安全措施:
- SWIFT系統不要加入Domain,具有Domain Administrator權限的管理員一直都是駭客攻擊目標,一個帳號的密碼或登入憑證被竊,所有電腦都可能被入侵。
- 較嚴格的存取控制,SWIFT系統應該在隔離網段,並且限制只有特定電腦才能存取SWIFT系統,以降低受駭的風險。
- 定期掃毒並安裝安全性更新
目前OfficeScan只要更新至最新病毒碼13.319.00,就可以偵測SWIFT攻擊相關的惡意程式。偵測名稱如下,若發現任何電腦上偵測到下列病毒,請馬上執行處理及調查。惡意程式清單:
BKDR_FIMLIS.A
TROJ_BANSWIFT.SWI
TSPY_ALSOF.A
TSPY_BANKER.NTE
TROJ_GEN.R047C0ELE16
TSPY_BANKER.YWNSZ
TROJ_FAKEMS.SWI
TROJ_BANSWIFT.SWI
BKDR_SCADPRV.B
TSPY_BANKER.SWI
TSPY64_BANKER.YWNQD
TSPY_BANKER.SWI
TROJ_RATANKBA.A
HKTL_NBTSCAN.GA
BKDR_DESTOVER.ADU
除了定期掃毒之外,當作業系統或應用程式公布修補程式,建議盡快進行測試及更新,避免駭客利用弱點入侵系統。
如需進一步協助,請聯絡趨勢科技技術支援部。
[趨勢科技技術支援聯絡方式]
企業授權用戶技術專線: Tel: 886-2-2377-2323
Web mail : http://www.trend.com.tw/corpmail/
沒有留言:
張貼留言