火眼发现隐身在逾10亿欧元损失背后的金融后门 Carbanak
金融后门程式 Carbanak 由知名黑客集团 FIN7 打造,曾渗透到世界各地的金融与银行机构,攻击范围覆盖全球逾40个国家,造成金融产业的损失估计超过10亿欧元(约77亿人民币)。
FIN7 是何方神圣?原来它是恶名昭彰的东欧黑客集团,曾是全球至今最危险也最会赚钱的黑客集团,在全球活跃多年,直至2018年3月,欧洲刑警组织于在西班牙逮捕FIN7集团首脑,然后美国也在同月逮捕了3名隶属于FIN7集团的乌克兰骇客,才终于捣毁这个曾经纵横天下的黑客集团。
FIN7集团总算寿终正寝了,但其遗毒祸害仍留存于世。FIN7所打造的金融后门程式Carbanak的原始码虽然早在2017年4月就被上传到恶意软件分析平台VirusTotal,但一直没有资安专家注意到它,直至2018年底才被火眼研究人员发现。
VirusTotal是个免费的恶意软件分析平台,可供上传恶意档案进行分析,也能自该平台存取各种档案,是全球资安人员交流聚集的网站。
火眼在找到并分析该后门程式的原始码之后,确认它就是Carbanak,就开始着手对其进行全面、深入的分析。
针对Carbanak原始码的分析规模较一般的常规分析要大得多:
- 以俄文撰写
- 档案大小为20MB
- 内含755个档案
- 10万行程式
- 有39个二进位档案
Carbanak的原始码中含有多种攻击程式、密码及多个C&C伺服器,还有屏幕录像功能,让黑客可以观看被入侵电脑的画面。此外,它在与远端C&C伺服器交流时,采用的方式不但更多元化,还能侦测并绕过系统安装的防毒软件。
火眼已将分析结果在公司博客公开,让行业的资安专家交流学习,对同类攻击程式的功能、框架以至黑客在设计时的各种考量都有较深入的认识和了解,为今后的防护工作提供参考。
火眼网络威胁防护
- 准确的威胁检测
- 及时和弹性防护
- 攻击面覆盖广泛
- 验证并优化警报
- 灵活的部署选项