歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
殭屍網路的資安攻擊Ramnit捲土重來
2017 / 01 / 03
IBM X-force 資安防禦團隊
根據IBM X-force研究人員的報告指出,Ramnit木馬病毒再度捲土重來,這次目標是英國的六大銀行。從內部來看,Ramni t的封包負載(Payload)並沒有大幅改變;架構與加密演算都一樣。某些部份有所更新,像是「Hooker」模組被重新調整後改名為「Grabber」。又被稱為間諜模組(SpyModule)的「Grabber」模組設計用來附在瀏覽器上,監測URL的存取,讓駭客能在即時竊取資料並對受害者展開注入攻擊。雖然Ramnit原本是以虛擬網路運算為主,但這次似乎並非立刻生效。只是,攻擊者還是可以從惡意程式的控制伺服器動態執行VNC遠端遙控模組,在任何時間點發動攻擊。
Ramnit的硬碟掃描模組沒有改變。它會讓木馬程式掃描硬碟,尋找關鍵字,像是Wallet、Passwords,以及組態中鎖定的銀行名字。駭客蒐集這些額外資訊,確保他們不會漏掉任何受害者可能會保存在終端設備的任何財物細節或是憑證。從組態方面來看,則可以發現Ramnit已經在為下一階段作準備,他們打造了新的攻擊架構,可以針對網銀進行即時詐欺攻擊。但不是所有的攻擊都必須要即時發生或是得在受害者的裝置上進行;Ramnit的駭客也能從受感染使用者處蒐集憑證,在稍後使用這些憑證從其他裝置上進行帳戶接管詐欺。根據X-Force研究,這種惡意程式在2014年最為猖獗,是世上最活躍的金融木馬程式第四名,僅次於Dyre、Neverquest和Dridex。
2015年初,在歐洲刑警組織的打擊行動成功拿下Ramnit背後的集團,中止了攻擊活動,雖然沒有完全消滅,但也讓背後集團銷聲匿跡好一陣子。2015年12月,IBMX-Force揭露新一波的Ramnit活動,鎖定對象是加拿大、澳洲、美國和芬蘭的銀行與電商。不過從那時之後Ramnit伺服器進入沈寂期,一直到現在。直到2016年7月,Ramnit準備新一波的攻擊架構、測試,設定感染計畫並把兩台新的攻擊伺服器接上。
根據X-Force的威脅情報顯示,Ramnit顯然是由一個封閉私人網路黑幫所經營。Ramnit的原始碼從未被公開販售,也沒有分享給其他網路罪犯,而且我們也觀察到在地下論壇討論。從我們目前所知的,Ramnit在這方面沒有任何改變。有可能新的駭客集團會重啟這個計畫,但是這個部份仍舊很模糊。Ramnit現在的目標顯然僅限於英國六大銀行,但X-Force研究人員預期未來名單可能會擴增。
惡意程式入侵指標
Sample MD5
1. 0784e53b2f19069ae4101440c93fb311
2. 81e5ab7fcc22193c88be5581f7062a27
3. U.K.-Targeting Configuration MD5
4. eb939f38861e6bbae800bbf422f66916
防毒軟體要一陣子才能偵測到Ramnit,而且在很多情況下,甚至完全偵測不到。以下是某些頂尖防毒軟體給這個惡意程式的別名:
1. Win32.Ramnit
2. Win32.Nimnul.a
如何防範?
Ramnit銀行木馬程式是個不斷演進的威脅。它的目的在於操控網路銀行的使用,竊取使用者的憑證並進行轉帳的詐欺攻擊。要阻止Ramnit,銀行與服務供應商可以採用能調適的惡意程式偵測解決方案,並能夠針對詐欺犯技術與能力提供即時洞見,保護消費者的終端設備。
包括Ramnit在內,多數的惡意程式感染,都始於載有惡意程式的垃圾電子郵件,引誘受害者開啟某個顯示是收據或其他重要文件的附加檔案。如果使用者並不預期收到這個檔案,最好的方式是直接刪除整封電郵,之後直接檢查帳戶或是聯繫服務供應商調查這起事件。至於經常使用網路銀行者,建議永遠不要從公用電腦存取個人帳戶。應該要使用載有資安防護的可信任裝置來使用線上銀行。
關於 X-Force:
進階威脅危機四伏,讓IBM專家的洞見幫您將風險降至最低。
IBM X-Force研發團隊研究並監控最新的威脅趨勢,包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及惡意的網頁內容等等。
最新活動
2024.03.28
2024 OT 資安年會
2024.04.10
【資安學院】4/10 身分識別與存取控制防護實務
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰
趨勢科技示警LINE輔助認證詐騙手法並建議5大社群隱私防範守則
趨勢科技:台灣需留意Earth Estries駭客組織,鎖定政府機關與科技業
Google推出實時網址檢查 升級安全網頁瀏覽功能防範更多釣魚網站
10國外交部、38個政府機構遭駭!中國APT駭客組織鎖定45國116單位攻擊
資安人科技網
文章推薦
報告:零日漏洞利用率激增,商業間諜軟體是主要利用者
TheMoon惡意軟體變種肆虐! 超過 6千台ASUS 路由器已被感染
中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位