技術支援

SWIFT等重要系統防護策略

 

近日傳出北韓駭客攻擊銀行重要系統後轉帳,與去年孟加拉銀行受駭並損失近20億台幣的事件非常類似,這是典型的商業流程入侵攻擊(BPC)。這類攻擊利用APT的攻擊手法,入侵銀行內部網路之後,進行內網擴散或橫向移動,逐步取得重要主機(如SWIFT)的登入帳密或憑證,進而植入木馬程式在SWIFT相關系統上。 

       

駭客植入木馬程式之後,除了竄改SWIFT程式,甚至會修改轉帳的對帳資訊,也因此不容易察覺這種異常的轉帳事件。

針對SWIFT等重要系統,趨勢科技建議參考下列防護措施:

 
 SWIFT系統上執行自我檢查:
  1.  檢查是否有異常檔案、異常連線;
  2.  SWIFT資料庫是否有大量失敗事件;
  3. 系統日誌是否有應用程式的錯誤事件與異常登入事件。

 

主動偵測異常程式或檔案,透過這類主動偵測,可以及早發現駭客入侵的跡象:

  1. 利用白名單系統(如SafeLock)主動偵測是否有異常的程式被執行;
  2. 檔案異動監控系統(如DeepSecurity)主動偵測是否有不正常的檔案被寫入重要目錄中。

 

監控駭客內網擴散活動:
在SWIFT系統上,透過DeepSecurity的DPI功能,偵測駭客內網擴散的活動或行為。以此次銀行攻擊案例來說,駭客透過遠端排程工作,在目標主機上建立排程工作。此類內網擴散的攻擊事件可被DeepSecurity或DDI(Deep Discovery Inspector)偵測。除此之外,也必須監控跟SWIFT同網段的電腦是否有異常活動,一旦同網段電腦被入侵,SWIFT系統的風險也會大增。透過(DDIDeep Discovery Inspector)過濾重要網段的流量,除了可以偵測內網擴散活動,也可以偵測C&C連線,以及惡意程式的傳送。

 

SWIFT等重要系統應在隔離網段作嚴密保護:
由於SWIFT系統的重要度極高,也因此安全的措施也應相對提高,建議可以考慮下列安全措施:

  1. SWIFT系統不要加入Domain:具有Domain Administrator權限的管理員一直都是駭客攻擊目標,一個帳號的密碼或登入憑證被竊,所有電腦都可能被入侵;
  2. 較嚴格的存取控制:SWIFT系統應設在隔離網段,並且限制只有特定電腦才能存取SWIFT系統,以降低受駭的風險。

 

定期掃毒並安裝安全性更新:
OfficeScan更新至最新病毒碼版本13.319.00以上,就可以偵測SWIFT攻擊相關的惡意程式。偵測名稱如下,若發現任何電腦上偵測到下列病毒,請馬上執行處理及調查:

BKDR_FIMLIS.A 
TROJ_BANSWIFT.SWI 
TSPY_ALSOF.A
TSPY_BANKER.NTE
TROJ_GEN.R047C0ELE16
TSPY_BANKER.YWNSZ
TROJ_FAKEMS.SWI 
TROJ_BANSWIFT.SWI  
BKDR_SCADPRV.B  
TSPY_BANKER.SWI
TSPY64_BANKER.YWNQD  
TSPY_BANKER.SWI
TROJ_RATANKBA.A
HKTL_NBTSCAN.GA
BKDR_DESTOVER.ADU

 

除了定期掃毒之外,當作業系統或應用程式公布修補程式,建議盡快進行測試及更新,避免駭客利用弱點入侵系統。



 

透過以下社群網站聯絡我們