針對BPC攻擊趨勢科技所提供解決方案，可以控制後蘇聯國家銀行的透支限額。

- 更新於:
- 13 Apr 2020
- 產品/版本:
- Deep Discovery Inspector 3.8
- Deep Security 10.0
- Deep Security 10.1
- Deep Security 9.0
- Deep Security 9.5
- Deep Security 9.6
- InterScan Messaging Security Virtual Appliance 9.0
- InterScan Messaging Security Virtual Appliance 9.1
- InterScan Web Security Virtual Appliance 6.0
- InterScan Web Security Virtual Appliance 6.5
- OfficeScan 11.0
- OfficeScan XG.All
- ScanMail for Exchange 12.0
- Worry-Free Business Security Standard/Advanced 8.0
- Worry-Free Business Security Standard/Advanced 9.0
- Worry-Free Business Security Standard/Advanced 9.5
- 作業系統:
- N/A N/A

概要

威脅訊息
來自後蘇聯國家之多家銀行遭到有組織犯罪集團的破壞，
導致一系列可疑的ATM取款交易和百萬美元的損失 - 一個計劃周密攻擊，涉及物理和網路活動，以實現威脅目標。

這次襲擊背後主謀者操縱特定借記卡賬戶的透支限額，藉此允許可進一步的信用許可，並於國外的ATM終端提取現金。

注意
透支限額（OD） 是指借記卡用戶可以訪問超過其當前餘額的金額。
當您花更多錢在銀行賬戶上進行交易時，就會發生透支。
銀行有一個預定透支限額，此為特定帳戶允許的最大限額。
犯罪者者就是通過提高流氓銀行帳戶的借記卡方式來透支限額。

目標攻擊鏈

Click to enlarge

團隊1：錢騾

該團隊在目標銀行分行，利用虛假身份資訊申請新帳戶以及借記卡。
銀行發行借記卡，第一批錢騾藉記卡轉發給位於歐洲不同國家的肇事者。

團隊2：網路罪犯

錢騾隊在進行攻擊初階，一群網路犯罪者已攻擊銀行的網路基礎設備。
開始攻擊方式是利用網絡釣魚郵件，讓使用者下載/安裝後門到機器上。後續濫用合法工具和服務來發現資產並轉移。

網絡犯罪者利用系統中本已安裝之合法工具和服務，如PowerShell和PSexec來執行資產移轉。
這也表明PuTTY Link（plink.exe）是橫向移動階段使用工具之一。其他軟體，
如監控工具Mipko，亦被安裝來捕捉截圖和擊鍵。這使攻擊者可以研究銀行系統的工作方式，並盜取登錄憑證。
利用這些工具可以讓威脅參與者滲透正常網絡流量或IT /系統管理任務。

網絡犯罪的主要目標是控制銀行的卡片管理應用系統。通過可獲取的憑證，
他們使用特權帳戶登錄卡管理應用系統，以操縱 與流氓帳戶相關的借記卡的透支限額，並刪除這些帳戶的反欺詐控制。

團隊3：錢騾

這組錢騾角色是使用流氓賬戶借記卡，在不同城市中跳選特定ATM提款機取錢。
此為同步攻擊，即整個操作是經過精心策劃。錢騾隊被分配攜帶流氓銀行帳戶借記卡到歐洲和俄羅斯的特定ATM終端機，
網絡犯罪分子一旦操縱透支限額，立即給錢騾開綠燈，從ATM終端上取錢。借記卡的透支限額和提款幾乎同時進行。
此協調一致的襲擊是有組織的犯罪行動。

詳情

TREND MICRO PRODUCT SOLUTIONS

EXPAND ALL

趨勢產品解決方案

Email解決方案

產品資訊，如IMSVA和SMEX 可以阻止與此相關的網絡釣魚攻擊郵件。
此兩個產品皆檢查電子郵件信譽，嵌入式鏈接的Web信譽，以及MS Office文檔中的文件附件。


雲端截毒掃描和常規模式

針對此後門程式，趨勢科技雲端病毒碼13.717.00已可偵測

●TROJ_LOADER.YMNIA
●TROJ_MBRWIPE.B

預測機器學習

預測性機器學習是一個強大的工具，有助於保護您的環境免受不明身份的威脅和零時差攻擊。
它對未知或低流行程序執行行為分析，以確定新興或未知威脅是否試圖感染您的網路。
預測性機器學習檢測用於此次攻擊的後門程序如下：

●Troj.Win32.TRX.XXPE002FF019

WEB網頁信譽評等服務

每個HTTP請求時Web信譽服務會去評估所有請求的URL是否存有潛在安全風險。
根據數據庫返回的評等分數及其安全級別，Web信譽會阻止或批准請求。

Web信譽服務已經阻止了與此攻擊相關的所有命令和控制服務器。

●192 [。] 52 [。] 167 [。] 228
●192 [。] 52 [。] 167 [。] 28


進階網路安全防護

進階網路安全防護提供流量檢測，高級威脅檢測和即時分析 - 這些都是專門用於檢測目標攻擊。
以下是可用於（但不限於）的規則，可以幫助檢測與此攻擊有關的命令和控制檢測以及橫向移動：

●命令與控制
 。DDI規則ID 26：C＆C回呼
 
●橫向運動

  。規則597 - PsExec - SMB
  。規則1847 - PsExec - SMB - 變體2
  。規則1751 - 可能的PsExec工具檢測
  。規則626 - 成功登錄到TELNET
  。規則35 - 在管理共享中丟棄可執行文件 - SMB

Deep Security

此軟體具有IPS解決方案，可幫助監控與此次攻擊相關的流量（但不限於此）

●1006906 - 識別PsExec命令行工具的用法
●1002487 - SSH客戶端
●1002475 - Telnet客戶端
●1003595 - 檢測到Telnet服務器流量
●1007114 - 在SMB Share上載的可移植可執行文件

額外攻擊者工具包

日常管理任務中管理員通常使用具合法應用程序。
但是，這些工具在網路犯罪者手中卻是強大武器，可以用來進行各種惡意活動。

文件的名稱：plink.exe 
說明：PuTTY的一個命令行工具，可用於非交互式SSH會話執行遠程命令

文件名稱：netscan.exe 
描述：網路掃描工具。
此能執行ping命令，port掃描，網絡共享，檢索有關網絡設備的信息等等。
該工具還支持遠程SSH和PowerShell命令的執行

文件名稱：mpk.exe，mpkview.exe 
描述：合法的監視工具捕捉屏幕截圖和擊鍵

文件名稱：Psexec 
描述：基於Microsoft Sysinternals命令行的遠程管理工具，允許遠程執行其他系統上的進程。

IT管理員的最佳實踐

●對使用者進行社交工程攻擊手法教育訓練
良好的資安觀念有助於改善公司內部資安安全狀況。
公司組織應定期對員工進行培訓，以確保員工對公司安全策略，程序和最佳實踐有深入的了解。

●應用程序白名單
應用程序控制（亦稱應用程序白名單）為端點提供了良好的保護。
IT管理員可以通過應用程序控制來確保在電腦上運行的程序/文件/進程等列表是否正常。
他們可依現有端點或類別，供應商，應用或其他動態信譽屬性的清單自行新增。

●合法工具和服務

越來越多網路犯罪者會利用系統本身具合法程式或服務進行犯罪，
故需限制和保護程序和服務的使用，如PsExec和Powershell，可以幫助防止攻擊者濫用這些工具。

●網路分割

正確的網路規劃，可以防禦具有針對性的攻擊手法，
這使得目標組織網絡內側更動的任務更加困難。
網絡細分為一種縱深防禦策略，增加了攻擊者入侵的困難度。