前言
本文详细分析了近期恶意程序针对金融机构客户所发动攻击的最新情况。文章着重介绍了金融恶意软件(即犯罪软件)和反病毒产业之间的对抗和竞争,并且就因此产生的犯罪软件和金融领域整体之间的冲突进行了分析。
本文不会着重介绍网络罪犯是如何使用恶意程序感染用户计算机的,也不会详细分析网络罪犯针对金融组织使用的一些恶意策略如网络钓鱼或社交工程等。虽然这些话题一直都是人们所关注的热点,但针对此类情况的详情,我们已经在早先的文章中详细介绍过了,例如: http://www.securelist.com/en/analysis/204792037/Attacks_on_banks.
本文的核心围绕着一个问题,即以目前的形势,是否可以有效地从根本上杜绝恶意软件对金融产业造成危害。
本文针对的主要对象是从事金融工作的专家和相关专业人员,以及对此领域有兴趣的IT专业人员。
在开始正文前,我们首先需要强调文章中所有金融组织的安全评级并不能反映其真实可靠性(或缺乏可靠性),同该组织的漏洞也无关,不能用于同其他同类竞争组织进行比较。该评级主要取决于其所用系统的普遍性以及用户在操作时遇到的情况。仅从此文章内容得出某个银行安全系统的可靠性的结论是不恰当的。
网络罪犯正在频繁攻击
目前,我们经常能够听到越来越多的关于网络罪犯成功攻击金融组织客户的案例。通常,针对此类金融机构客户进行的攻击方式并不新颖,已经早被滥用。这些手段无非是:寻找合适的攻击目标,对其计算机进行感染,窃取客户的在线登录信息,最终窃取受害用户的钱财。
近期最具典型性的此类恶意程序来自Zbot-toolkit家族,即ZeuS木马。
ZeuS木马是一种专门设计用来盗取上述数据——即用户登录网上银行账号登陆认证信息的恶意工具。在过去的2009年,ZeuS一直非常活跃,而且目前仍然构成了可观的威胁,仿佛在嘲笑IT安全专业人员。他们曾经曾多次试图关闭ZeuS僵尸网络,但收效甚微。目前,仍然有超过700多个ZeuS控制命令中心在运行,每个控制中心控制的受感染计算机大约平均有两万至五万。仅从这个数据,我们就可以推测出潜在的受害用户的数量是何等庞大。不仅如此,此类控制中心在全球均有分布,见图1。
图1. ZBot/ZeuS僵尸网络控制中心分布图,数据来源于ZeuS Tracker data
广泛的地理分布保证了僵尸网络的寿命。近期的举措也表明,仅仅关闭一些托管服务网站是无法摧毁僵尸网络的。3月9日,通过ZeuS Tracker监测僵尸网络的Roman Husse发现僵尸网络的控制中心数量急剧减少,并且发现造成此现象同一个名为Troyak的互联网服务提供商的关闭有关。到3月11日,控制中心数量已经减少到104个。但是,两天后,Troyak找到了一个新的电信服务商。到3月13号,控制中心的数量又增长到超过700个。所以,当时由于控制中心数量减少带来的欣喜并没有持续多久。
ZeuS家族恶意软件绝对不是唯一一个设计用来窃取用户登录信息,最终为了染指用户的在线钱财的恶意工具。例如,Spy Eye 工具包不仅能够窃取相应数据,还具有摧毁其竞争对手Zbot/ZeuS工具的能力。这表明,就在我们的眼皮底下,恶意软件之间正在进行着一场虚拟大战。例如还有恶名远播的Mariposa僵尸网络,控制了全球超过1300万台受感染计算机。该僵尸网络被西班牙警方于2009年12月摧毁。
在Spy Eye僵尸网络的控制面板终端上,网络罪犯使用一个个小钱袋代表僵尸网络上每个被感染的计算机。
反病毒行业是否遭遇技术壁垒?
僵尸网络充当着金融恶意软件繁衍的温床。正是通过这些恶意软件,网络罪犯可以轻易地窃取到用户的钱财,并且不断寻找新的受害者。下图数据清晰表明针对银行以及其他金融组织的客户采取攻击的恶意程序数量在过去几年内明显增加(见图2):
图2. 可用于窃取互联网用户在线钱财的恶意程序数量增加情况 数据来源:卡巴斯基实验室
上述数据表明,金融恶意软件从诞生到现在,其数量一直呈季度性增长。更为不妙的是,事实上很大比例的金融恶意软件在最初出现时,并不能被大多数反病毒软件检测到。例如,根据ZeuS Tracker Center提供的数据,截止到3月中旬,超过一半多的通过ZBot/ZueS僵尸网络传播的恶意软件是无法被反病毒软件查杀的。这意味着网络罪犯采用恶意软件发起的攻击非常成功。当反病毒厂商经能够为用户提供足够的防护时,已经为时过晚,因为网络罪犯已经得到了他们想要的数据。
那么,造成这一状况的原因是什么呢?为了弄清真相,我们仔细分析一下采用典型的反病毒数据库防护方案的反病毒厂商处理此类威胁的具体步骤。虽然每个反病毒厂商所采用的具体步骤可能会稍有不同,但整体上都包括以下关键步骤(见图3):
图3. 基于特征的反病毒数据库更新发布流程
现在,让我们仔细看一下每个步骤:
- 第一步:从网络罪犯发布一款新的恶意软件开始,反病毒厂商的首要任务就是识别和取得该恶意程序的样本。通常,获得样本有几种方式:在恶意程序感染用户时,通过计算机上的自动截获系统或恶意软件收集系统获取,或者作为同合作伙伴之间的文件交流方式获得等。但是,虽然恶意软件的感染方式多种多样,获取样本的途径也非常多,但仍然不能保证反病毒厂商能够及时快捷地获取ITW(自然)样本。
- 第二步:获取到样本后,就可以开始进行分析流程了。此步骤可以通过自动系统或病毒分析师完成。通过对样本分析,反病毒厂商会针对此恶意软件添加相应的特征到反病毒数据库中。
- 第三步:特征被加入到反病毒数据库中后,需要进行测试。测试目的是检验添加的反病毒特征条目是否具有错误。
- 第四步:测试阶段完成后,更新会发送给所有使用反病毒软件的用户。
一个恶意软件的出现到用户受到针对此恶意软件的反病毒更新,可能需要几个小时。造成这一延迟的原因是上述所有步骤都需要相应时间去完成。当然,延迟时间过去后,用户会得到可靠的安全保护。但是因此也产生了一个悖论,即最后提供的保护措施通常都是亡羊补牢。因为如果一个用户的计算机已经被感染,其上面的个人数据就已经被网络罪犯所窃取。最终,反病毒软件只能帮助用户了解自己的计算机已经被感染过,但是丢失数据这种损失是无法挽回的。
网络罪犯对反病毒软件的整个更新过程同样了如指掌。他们知道反病毒软件更新数据库的时间,并且非常清楚他们所使用的恶意软件迟早会被检测到并清除。所以,他们经常采取下列攻击方案:首先,发布一个恶意文件。几个小时后,当反病毒软件已经能够检测该恶意软件时,他们会利用另一种新的恶意软件发动一轮新的攻击。每次都利用这短短几个小时的时间作案,并且周而复始不断循环。结果,虽然反病毒厂商能够提供可靠的威胁检测和防护,但是这种落后的反病毒技术有些力不从心,提供的保护往往不够及时。
总结:
- 目前,大多数反病毒技术(如基于特征和通用检测技术)的反应速度和时间都无法满足当今对反应时间的需求。即恶意程序通常都能够在终端用户收到反病毒数据库更新之前,将用户的个人数据窃取并发送给网络罪犯。
- 针对金融组织客户的犯罪软件攻击数量呈指数上升趋势。
金融组织和客户的自我保护
考虑到上述情况,当反病毒数据库的更新明显落后于当前威胁水平是,金融组织只能想办法建立和推广自己的客户认证机制,从而减少风险,最大程度地对抗网络犯罪的攻击。
近来,不可否认很多主要的金融组织开始引入额外的解决方案,为自己的客户提供电子认证手段。其中一些认证方式如下:
- 采用TAN代码(交易认证代码,是一种确认交易的一次性密码)
- 虚拟键盘
- 将客户绑定于一个固定IP地址
- 机密问题提问以及关键字
- 采用U盾或其他USB设备作为辅助认证
- 生物认证系统
在此,我们不会专门讨论网络罪犯绕过此类保护措施的方法,因为我们已经在上述的关于“银行攻击“的文章中详细介绍过。但是,我们必须指出,网络罪犯确实知道怎样”骗过这些“保护系统”,而且他们所采用的手段还非常成功。
当然,金融机构所采取的防护措施确实使网络罪犯展开攻击变得相对困难了一些。但同时,此类措施也并非万无一失。我们仍然不断受到各种关于网络银行失窃的报道,同之前相比并没有太大改善。
- FDIC(联邦存款保险公司): 2009年第三季度,美国企业损失达1亿2000万美元(这些损失几乎全部同恶意代码相关)
- UK Cards Association(英国银行卡协会):2009年,英国由于在线银行造成的损失增长了14%,总额达到6000万英镑
- FBI(联邦调查局):2009年,网络罪犯从美国用户手中窃取到的财富高达5亿美元之多,是2008年的两倍
根据卡巴斯基实验室2010年第一季度的数据,我们整理出了网络罪犯最常攻击的金融机构的名单,如下:
| 金融机构 |
占总攻击数量的百分比 |
| Bradesco group |
6.65% |
| Banco Santander group |
4.71% |
| Banco do Brasil |
3.92% |
| Citibank |
3.74% |
| Banco Itau |
3.33% |
| Caixa |
2.93% |
| Banco de Sergipe |
2.84% |
| Bank Of America |
2.36% |
| ABN AMRO banking group |
2.28% |
| Banco Nossa Caixa |
1.39% |
| Other |
14.51% |
表1. 网络罪犯最常攻击的排名前10位的金融机构(卡巴斯基实验室数据)
事实上,上述表格排名在过去的几年中,几乎没有什么变化。
最容易遭受攻击的是巴西的银行。关于此趋势,卡巴斯基实验室的Dmitri Bestuzhev在其“巴西:银行木马泛滥的国家”一文中有详细介绍。
根据卡巴斯基实验室提供的数据,2010年第一季度遭受类似攻击的银行数量已经接近1000个。
这也表明,尽管银行组织开始引入额外的安全保护措施,但网络罪犯也在不断探索和寻找新的并且更为复杂的感染手段,企图获取用户的信息。
总体来说:
- 金融机构开始引入额外的授权措施,但网络罪犯也开始快速反应,找出绕过这些措施的新方法。整个过程将如下:增加保护措施——发现保护措施的漏洞——进一步增加安全措施——同样找到其漏洞,不断循环下去。
- 有网络犯罪活动引发的经济损失金额正在持续上升
是否有可行的解决方案?
现在,我们将试图回答这个关键问题:即以当今现有的技术手段,是否可能有效对抗犯罪软件?
让我们仔细考虑一下上述影响银行以及这些金融机构安全的主要问题,总结出来哪些是亟需解决的问题。
- 提供反病毒数据库更新的延迟。很简单,在一种能够新型的恶意程序出现到终端用户获取到反病毒数据库更新之间的延迟无法满足现今的安全需求。
- 攻击金融机构客户的恶意威胁正在呈指数增长。
- 在网络罪犯使用木马的情况下,金融机构采取的安全保护措施往往不能保护客户的钱财不被窃取。
虽然目前来看,我们所面临的前景不不是很乐观。反病毒厂商的反应时间还不够快,网络罪犯仍然逍遥法外,而银行客户也没有得到足够的保护。但是,我们仍然还有希望。相关技术仍然在继续开发,今天一些顶级的反病毒厂商已经具备抵御此类恶意攻击的解决方案。
目前,市场上的一些反病毒厂商已经开始利用云计算技术。这种技术能够有效提高对恶意内容的检测和拦截,并且限制其传播源。我们这里指的是基于客户-服务器技术的云安全技术,这项技术能够分析用户计算机上关于恶意软件活动的元信息。不过,这些信息只有经过用户的许可才会上传,并且上传信息中不会包含任何用户的个人信息。
此技术不同于反病毒数据库检测技术,在分析样本方面采用的方式不同。反病毒引擎只能够根据固定的规则去分析样本,例如识别非正常的行为模型。而通过在线分析从很多用户计算机上同步收集到的元数据,则可以很快的检测出“可疑行为”,并且技术对此类行为进行拦截,从而避免威胁的进一步传播。在实际应用上,使用此类云安全技术的计算机用户在新威胁出现几分钟之后,就可以收到安全保护措施。
采用云安全技术具有以下优势:
- 在新兴威胁出现几分钟之内,提供快速的检测和保护服务,同以往需要几个小时等待反病毒数据库升级,有了很大的改进。
- 显著提高了反病毒产品的恶意程序检测水平。新技术结合了经过多次测试的可信任检测手段,事实证明对新兴威胁的识别非常有效。
- 新技术不仅能够针对威胁提供快速的检测和拦截服务,还能够限制威胁进一步扩散。
- 此技术才能够对恶意软件疫情提供数据参考,比如攻击发生的时间、地点、攻击者、受害用户以及被保护用户数量等。
那么,这种新型技术能为金融机构带来什么呢?首先,此解决方案能够像金融机构发出预警,一旦有新兴威胁对其客户进行功能,金融机构可以在第一时间内知悉。这些预警信息包括威胁的具体情况以及如何对抗这些威胁的防护指导。
同时,还有一种被称为“形势观察室”的服务需求量很大。这种服务可以允许金融机构进行访问。此类网络资源需要一个登录名和密码。通过登录此服务,用户可以获取到远远超过邮件提醒所能包容的更多信息。例如,某个“形势观察室”可以提供同某个金融机构相关的报告和分析,包括针对该机构客户的网络攻击所处区域以及来源等数据。
但是,此类提醒服务以及报告系统也许并非最佳的解决方案,具体原因如下:
- 银行客户的计算机上并非全部安装了反病毒软件,这使得我们很难获取到关于攻击的全部详情。
- 为了对数据进行集中和全面地分析,所有银行客户必须使用相同的反病毒软件,这在实际操作上根本不可能实现。
- 此外,还存在信任问题:考虑到丢失重要数据以及网络被入侵的风险,金融机构严禁将任何客户相关的信息发送给其他公司。
上述因素都使得确定攻击详情变得更加复杂。
为了更为清晰的了解网络罪犯对于银行世界的攻击行为,最高的方式是反病毒厂商和金融机构之间开展直接合作。
- 在在线银行服务客户端整个一个恶意软件检测解决方案可行性更强,因为这样不会收集用户的个人数据。这种措施和服务可以整合为一个安全策略,这样将有效减少银行未来由于保险索赔以及罚金所支付的费用。
- 初级自动威胁分析中心可以由银行自身的安全服务负责,使得他们可以根据自身需求独立进行相关分析。通常,大型的金融机构都具有自己的内部IT部门,可以完全掌控机构接收到的数据。内部的安全服务可以独立地决定哪些信息可以发送给反病毒厂商进行分析。但请注意,如果某个公司想要控制其数据传输,并且对针对此机构的攻击进行分析,我们才推荐建立一个这样的分析中心。基于上述原因,此方案适合大型的金融机构。
- 在线银行业务的客户会及时收到分析中心发送的关于如何消除新兴威胁的信息,以及这些威胁来源等相关信息。
反病毒厂商和金融机构之间的紧密合作可以一石二鸟,有效地打击犯罪软件。金融机构通过这种合作,也可以减少他们所面临的风险,缩减他们由于此类事件造成的费用支出。而对于反病毒厂商来说,则可以有机会更为有效地打击此类具有针对性的网络攻击。
政府支持
截止到目前,我们一直在关注两个对抗网络犯罪的团体是反病毒厂商和金融机构。但是,事实上还必须有一个团体应该积极加入到此类行动中去,虽然现其现在扮演的角色还不积极,我们所说的是政府。
如果没有政府的支持,击败网络犯罪的可能性大大减小。国家具有边界,但是互联网却没有,这使得网络罪犯在互联网上可以安全按照自己的意愿行事,自由度极大。例如,严格按照相应国家的诉讼流程以及国际法,某个韩国银行是否可以快速关闭一个位于巴西的恶意软件服务器呢?或者某个巴西银行是否可以关闭某个中国服务器呢?答案很显然,这两种情况下都不可以。如果不同国家的相关权力部门之间没有有效的合作机制的话,对抗网络犯罪至少困难重重。这之间的斗争就好象是拔河比赛。一旦任何新技术被用于对抗网络犯罪行为,网络罪犯就会迅速开发出绕过保护技术的手段。整个过程又从新开始,不停循环。
下表列出了2010年第一季度用于传播犯罪软件的恶意托管服务的地理分布:
| 国家 |
占全部攻击的百分比 |
| 巴西 |
30.28% |
| 美国 |
26.55% |
| 中国 |
7.39% |
| 俄罗斯 |
5.70% |
| 德国 |
4.41% |
| 法国 |
3.26% |
| 西班牙 |
2.88% |
| 英国 |
2.10% |
| 韩国 |
1.53% |
| 荷兰 |
1.39% |
| 其他 |
14.51% |
结论
我们已经介绍了反病毒厂商和金融机构在对抗网络犯罪和在线银行客户钱财失窃问题时所面临的一系列困难。并且详细分析了一种可行的解决方案。
除了在线银行系统外,此解决方案还适用于其他系统。例如,可以用来有效监控针对在线游戏系统、电子支付系统以及交易平台的攻击。值得注意的是,事实上针对此类系统的攻击数量远远高于针对在线银行系统攻击的数量。
毫无疑问,我们认为有必要再次重申一下政府在此领域应该扮演的重要角色。如果没有政府支持,我们很难在对抗网络犯罪的事业中取得成果。在相关权力机构达成有效的合作、沟通和互动之前,网络犯罪的问题不可能得到完全解决。
词汇表
犯罪软件 是一种专门开发的用于自动从事金融犯罪的恶意软件。此类恶意软件还包括其他一些具有类似恶意行为的恶意软件,例如银行木马和密码盗窃木马等。更多关于犯罪软件和恶意软件分类的信息,请参考:http://www.securelist.com/en/threats/detect?chapter=138.
ITW(自然)样本 指的是在用户计算机系统上发现的“自然”恶意程序样本,能够证明用户计算机确实已经遭受感染。
卡巴斯基安全网络(KSN) 是一套分布系统,用于实时收集用户计算机上存在的威胁。此外,它还能够有效识别未知恶意威胁,并且确定其源头,便于我们迅速做出反应,为用户提供相应保护。关于KSN更多详情,请浏览:http://www.kaspersky.ru/product_technologies?id=19.
工具集 是一套用来完成某个功能或目标的工具。在本文中,工具集用来创建和管理僵尸网络,并且利用僵尸网络窃取用户的在线银行登录信息。
僵尸网络 是一群被感染的计算机在控制命令中心的控制下组成的网络,僵尸网络统一受控于网络罪犯,网络罪犯可以利用受感染计算机从事任何行为
