新闻链接：http://www.2cto.com/News/201602/491085.html
新闻时间：2016-02-26
新闻正文： 最新研究表明，最先进的一批银行木马正在扩展它们的攻击目标，向银行之外的行业渗透，危害着金融账号与其他信息。
        研究人员表示，在这些恶意代码中，有一部分正逐渐将注意力从美国的大型银行转向东欧与亚洲稍小的银行机构。
        在戴尔安全工作及威胁分析部门第三年度的高级银行僵尸网络报告《银行僵尸网络-战争在继续》中，提到了几点很关键的发现：
            ·除了银行之外，如今的僵尸网络将目标指向了云服务提供商、手机app应用市场、在线技术市场以及一些诸如航运机构、仓储机构、电子商业、营销行业等。
            ·在2015，有超过100个国家的1500多家金融机构成为其受害者，其中80%的机构位于美国，同时，英国、欧洲以及澳大利亚的受害机构数量也有显著增长。

        波及全球

        Dell公司高级研究员Pallav Khandhar，在信息安全传媒集团对他的一次独家专访中，讨论了银行木马的全球性覆盖。
        “所有的银行都有不同的安全措施”，Khandhar 提到，“对于僵尸网络运营者来说，以中小型银行机构作为目标有时更容易成功，因为这些银行可能没法像大型银行一样拥有真正高级完善的安全措施”。
        当谈到为什么向银行以外的行业进发时，Khandhar列举了两个原因：僵尸网络运营者想收获更多的在线凭证，并且他们要将从银行得到的钱洗干净。
        “当然他们的主要目标仍然是银行”，他说，“但是，攻击者也在逐渐从这些新型行业中寻找新的目标”。
        Khandhar猜测，攻击行为的转移，是网络不法分子们在尝试将窃取到的信息转换成实际的金钱。
        他说，如果不法分子用这些窃取的银行卡去购买非法的商品，那么他们需要有办法安全地运输这些货物。通过将目标定位到诸如航运与仓储之类的物流行业，攻击者可以获取到货物运输航线上的系统与服务器的访问凭证，从而他们的货物在运输过程中可以避开检查，便于非法出口。
        “他们的主要动机应该是钱”，Khandhar说，“因此他们盯上航运与仓储行业，便于将物品从一个地方运到另一个地方”。
        “当然也有另一种可能，他们盯上这些行业单纯只是为了获取银行信息，就像他们盯上其他商务行业来进行ACH（美国处理银行付款的主要系统）诈骗与电信诈骗”，他补充道。

        木马进化

        戴尔安全部门的研究员注意到，在2015年度，在12种世界上遍布最广的银行木马中有种一致的趋势，这其中包括2012年出现的Gozi，2015年出现Shifu，以及另一种2015年新发现的木马Tinba 。
        这三种木马突然开始攻击银行之外的行业，比如支付与零售行业，并且他们的攻击方法不像是寻常的银行木马，更像是APT。
        比如在银行木马Dridex,Gozi，Shiz与Zeus的源码基础上编写的Shifu，开始表现得更像是一个APT，而非一个银行木马。
        IBM Trusteer的安全研究员Limor Kessem注意到，去年八月份，Shifu开始去攻击银行系统而不是银行顾客，IBM Trusteer发现14家日本银行与一些欧洲的电子银行系统发生的被攻击事件与Shifu也有一定关系。
        “尽管web注入是木马的一项正常能力，但是几乎没有银行木马对银行系统发起攻击”，Limor在她关于Shifu的博客中写道，“这种攻击类型最早是从像Shiz这样的老银行木马中出现的，当时有人用它去攻击俄罗斯银行系统...如果恶意代码的作者危害某一种应用或者系统的通用的方法，那么可能所有用这种系统的银行都能被成功攻下”。
        Shifu的攻击方式类似于Shifu，它可兼任终端木马，可针对支付与POS终端处理平台处理系统。当发现一个类似于POS机的终端后，Shifu可以部署一个内存插件去收集银行卡的信息。
        11月时，Dell安全工作部门Brett Stone-Gross在一次信息安全传媒集团的采访中提到，Tinba将攻击目标从欧洲西部转移到了欧洲东部。俄罗斯银行与支付服务的攻击事件即与Tinba有关。
        “Tinba与一般的银行木马不一样，一般银行木马以西部的银行机构作为目标”，Stone-Gross说，“但是Tinba针对俄罗斯的银行机构，它转移目标的部分原因可能是它对乌克兰与俄罗斯有些敌意”。
        然而根据戴尔安全工作部门的最新报告，如今大多数的银行木马进化步伐类似，因百与政治局势的关系不大。

        法外逍遥

        僵尸网络继续依赖隐藏网络服务，比如洋葱网络与I2P匿名网络，并且使用了域名生成算法，用以提高生存能力并防止被查处，戴尔安全部门人员在他们的报告中提到。另外，通过使用私有垃圾邮箱，僵尸网络团伙脱离了“垃圾邮件服务”模型，报告中补充道。
        Khandhar认为洋葱网络与垃圾邮件过滤器的使用使得执法机关几乎不可能将僵尸网络摧毁，“他们只需要将自己的基础设施隐藏在这些保护措施之下”，他说，“不法分子一直在与执行机关做斗争，减少被关闭的可能。”
        安全公司Strategic Cyber Ventures的CEO Tom Kellermann表示，攻击者在伪装自己的犯罪活动这方面做得相当不错，“许多黑客都在使用云基础设施拓殖他们的网络“，他说，“暗网提高了他们的恢复能力，而且如今的攻击者可以使用多重CC服务器，当一台CC服务器处于睡眠周期时，可以迅速部署上另一台从属CC服务器”
        这种地下的隐秘活动帮助网络罪犯们利用他们的能力占据上风，安全公司InfoArmor的首席情报官说。
        “由于被执行部门与安全团体注意到，与2015年相比，这片市场变得比以前更加隐蔽。”，他说，“这片市场吸引了非常重要的网络罪犯，如今他们扮演着僵尸网络的创造者的角色，而且想着逃避侦查”。

        减小风险

        Khandar说，各组织与机构应该实施常规的网络检查，查看是否有异常的网络行为，并经常对员工与顾客进行钓鱼技术的相关教育，以此减小僵尸网络造成的威胁。
        “他们必须确保自己的用户别点击邮件中的链接”，他说，“这点仍然是大多数犯罪行为的主要入口点”。
        Gartner咨询公司的金融诈骗专家Avivah Litan说，相关组织与机构需要在所谓的诈骗技术分析学中投入更多资金，确保攻击发生时能够立即发现。
        “他们需要研究诈骗技术，让骗子们没法解密他们的web应用或者手机应用的代码，从而无法开展脚本化的攻击”，她说，“他们也需要利用诈骗分析学，从多个公司的海量的攻击数据中分析攻击的模式，这些模式可以用来检测攻击行为，并防止攻击行为所带来的损失”。

[培训]科锐软件逆向50期预科班报名即将截止，速来！！！ 50期正式班报名火爆招生中！！！