殭屍網路的資安攻擊Ramnit捲土重來

2017 / 01 / 03

IBM X-force 資安防禦團隊

根據IBM X-force研究人員的報告指出，Ramnit木馬病毒再度捲土重來，這次目標是英國的六大銀行。從內部來看，Ramni t的封包負載（Payload）並沒有大幅改變；架構與加密演算都一樣。某些部份有所更新，像是「Hooker」模組被重新調整後改名為「Grabber」。又被稱為間諜模組（SpyModule）的「Grabber」模組設計用來附在瀏覽器上，監測URL的存取，讓駭客能在即時竊取資料並對受害者展開注入攻擊。雖然Ramnit原本是以虛擬網路運算為主，但這次似乎並非立刻生效。只是，攻擊者還是可以從惡意程式的控制伺服器動態執行VNC遠端遙控模組，在任何時間點發動攻擊。

Ramnit的硬碟掃描模組沒有改變。它會讓木馬程式掃描硬碟，尋找關鍵字，像是Wallet、Passwords，以及組態中鎖定的銀行名字。駭客蒐集這些額外資訊，確保他們不會漏掉任何受害者可能會保存在終端設備的任何財物細節或是憑證。從組態方面來看，則可以發現Ramnit已經在為下一階段作準備，他們打造了新的攻擊架構，可以針對網銀進行即時詐欺攻擊。但不是所有的攻擊都必須要即時發生或是得在受害者的裝置上進行；Ramnit的駭客也能從受感染使用者處蒐集憑證，在稍後使用這些憑證從其他裝置上進行帳戶接管詐欺。根據X-Force研究，這種惡意程式在2014年最為猖獗，是世上最活躍的金融木馬程式第四名，僅次於Dyre、Neverquest和Dridex。

2015年初，在歐洲刑警組織的打擊行動成功拿下Ramnit背後的集團，中止了攻擊活動，雖然沒有完全消滅，但也讓背後集團銷聲匿跡好一陣子。2015年12月，IBMX-Force揭露新一波的Ramnit活動，鎖定對象是加拿大、澳洲、美國和芬蘭的銀行與電商。不過從那時之後Ramnit伺服器進入沈寂期，一直到現在。直到2016年7月，Ramnit準備新一波的攻擊架構、測試，設定感染計畫並把兩台新的攻擊伺服器接上。

根據X-Force的威脅情報顯示，Ramnit顯然是由一個封閉私人網路黑幫所經營。Ramnit的原始碼從未被公開販售，也沒有分享給其他網路罪犯，而且我們也觀察到在地下論壇討論。從我們目前所知的，Ramnit在這方面沒有任何改變。有可能新的駭客集團會重啟這個計畫，但是這個部份仍舊很模糊。Ramnit現在的目標顯然僅限於英國六大銀行，但X-Force研究人員預期未來名單可能會擴增。

惡意程式入侵指標
Sample MD5
1. 0784e53b2f19069ae4101440c93fb311
2. 81e5ab7fcc22193c88be5581f7062a27
3. U.K.-Targeting Configuration MD5
4. eb939f38861e6bbae800bbf422f66916

防毒軟體要一陣子才能偵測到Ramnit，而且在很多情況下，甚至完全偵測不到。以下是某些頂尖防毒軟體給這個惡意程式的別名：
1. Win32.Ramnit
2. Win32.Nimnul.a

如何防範？
Ramnit銀行木馬程式是個不斷演進的威脅。它的目的在於操控網路銀行的使用，竊取使用者的憑證並進行轉帳的詐欺攻擊。要阻止Ramnit，銀行與服務供應商可以採用能調適的惡意程式偵測解決方案，並能夠針對詐欺犯技術與能力提供即時洞見，保護消費者的終端設備。

包括Ramnit在內，多數的惡意程式感染，都始於載有惡意程式的垃圾電子郵件，引誘受害者開啟某個顯示是收據或其他重要文件的附加檔案。如果使用者並不預期收到這個檔案，最好的方式是直接刪除整封電郵，之後直接檢查帳戶或是聯繫服務供應商調查這起事件。至於經常使用網路銀行者，建議永遠不要從公用電腦存取個人帳戶。應該要使用載有資安防護的可信任裝置來使用線上銀行。

關於 X-Force：
進階威脅危機四伏，讓IBM專家的洞見幫您將風險降至最低。
IBM X-Force研發團隊研究並監控最新的威脅趨勢，包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及惡意的網頁內容等等。