由趨勢科技提供-SWIFT等重要系統的防護策略

近日傳出北韓駭客攻擊銀行重要系統,並進行轉帳動作。這跟去年孟加拉銀行受駭並損失近20億台幣的事件非常類似。這是典型的商業流程入侵攻擊(BPC),這類攻擊利用APT的攻擊手法,入侵銀行內部網路之後,進行內網擴散或橫向移動,逐步取得重要主機(如SWIFT)的登入帳密或憑證,進而植入木馬程式在SWIFT相關系統上。

在植入木馬程式之後,除了竄改SWIFT程式之外,甚至會修改轉帳的對帳資訊,也因此不容易察覺這種異常的轉帳事件。

針對SWIFT等重要系統,我們建議參考下列防護措施:


  • 在SWIFT系統上執行自我檢查檢查否有異常檔案、異常連線
  • SWIFT資料庫是否有大量失敗事件
  • 系統日誌是否有應用程式的錯誤事件與異常登入事件
  • 主動偵測異常程式或檔案
  • 利用白名單系統(如SafeLock)可以主動偵測是否有異常的程式被執行起來。或是檔案異動監控系統(如DeepSecurity),可以主動偵測是否有不正常的檔案被寫入重要目錄中。透過這類主動偵測,可以及早發現駭客入侵的跡象。
  • 監控駭客內網擴散的活動
在SWIFT系統上,透過DeepSecurity的DPI功能,偵測駭客內網擴散的活動或行為,以此次銀行攻擊案例來說,駭客透過遠端排程工作,在目標主機上建立排程工作。此類內網擴散的攻擊事件可被DeepSecurity或DDI(Deep Discovery Inspector)偵測。 除此之外,跟SWIFT同網段的電腦也必須監控是否有異常的活動,一旦同網段電腦被入侵,SWIFT系統的風險也會大增。透過DDI(Deep Discovery Inspector)過濾重要網段的流量,除了可以偵測內網擴散活動,也可以偵測C&C連線,以及惡意程式的傳送。


  • SWIFT等重要系統應在隔離網段作嚴密保護
由於SWIFT系統的重要度極高,也因此安全的措施也應相對提高,建議可以考慮下列安全措施:

  • SWIFT系統不要加入Domain,具有Domain Administrator權限的管理員一直都是駭客攻擊目標,一個帳號的密碼或登入憑證被竊,所有電腦都可能被入侵。
  • 較嚴格的存取控制,SWIFT系統應該在隔離網段,並且限制只有特定電腦才能存取SWIFT系統,以降低受駭的風險。

  • 定期掃毒並安裝安全性更新
目前OfficeScan只要更新至最新病毒碼13.319.00,就可以偵測SWIFT攻擊相關的惡意程式。偵測名稱如下,若發現任何電腦上偵測到下列病毒,請馬上執行處理及調查。
惡意程式清單:
BKDR_FIMLIS.A
TROJ_BANSWIFT.SWI
TSPY_ALSOF.A
TSPY_BANKER.NTE
TROJ_GEN.R047C0ELE16
TSPY_BANKER.YWNSZ
TROJ_FAKEMS.SWI
TROJ_BANSWIFT.SWI 
BKDR_SCADPRV.B 
TSPY_BANKER.SWI
TSPY64_BANKER.YWNQD 
TSPY_BANKER.SWI
TROJ_RATANKBA.A
HKTL_NBTSCAN.GA
BKDR_DESTOVER.ADU

除了定期掃毒之外,當作業系統或應用程式公布修補程式,建議盡快進行測試及更新,避免駭客利用弱點入侵系統。


如需進一步協助,請聯絡趨勢科技技術支援部。

[趨勢科技技術支援聯絡方式]

企業授權用戶技術專線: Tel: 886-2-2377-2323
Web mail : http://www.trend.com.tw/corpmail/

沒有留言:

張貼留言

資安事件新聞週報 2021/4/12 ~ 2021/4/16

 資安事件新聞週報 2021/4/12  ~  2021/4/16 1.重大弱點漏洞/後門/Exploit/Zero Day Cisco Will Not Patch Critical RCE Flaw Affecting End-of-Life Business Routers...