原标题:【远银遭骇追追追】快清查内部网络!远银遭骇5支恶意程式特征公开(还有骇客中继站IP)
远东银行遭骇盗转事件中,刑事局已经发现了5支骇客留下的恶意程式,其中2支是加密勒索木马,另外3支是用来入侵和灭迹的恶意程式。
早在10月6日记者会中,金管会就曾提醒台湾金融业者,要注意RANSOM_HERMS.A加密勒索木马。iThome进一步取得了这5支恶意程式的档名和特征,可供企业赶快清查内部电脑系统,是否已遭骇客锁定,暗中也植入了这些恶意程式,只是还为发动攻击。
就是因为远银在10月3日上午,从资安设备上侦测到网络异常行为,随后也发现有系统毁损,找来资安专家,发现是这支加密勒索软件导致SWIFT系统当机,但这其实是骇客故布疑阵,用来隐藏他们暗中入侵SWIFT盗转汇款的拖延战术。
目前5支恶意程式,除了bitsran.exe和RSW72CE是加密勒索木马之外,另外三支的档名分别是msmpeng.exe(侦测到BKDR_KLIPOD.ZTEJ-A病毒)、splwow32.exe(侦测到 BKDR_KLIPOD.ZTEJ-B病毒)和FileTokenBroker.dll(TROJ_BINLODR.ZTEJ-A),最后一个从档名来看,就疑似是用来伪造SWIFT密文用的病毒,不过,这还有待刑事局分析。这几支恶意程式目前已知的功能,可以进行散布、加密及远端遥控,并在感染远银内部电脑后,也会搜集相关情报进行回报,并且加密部分电脑的档案资料。
另外刑事局也已经掌握了2个骇客用来远端遥控恶意程式的恶意程式中继站IP,分别是94.23.148.41和167.114.32.112,这也是企业要赶快列入防火墙阻挡清单的IP,另外也要清查ㄧ下Log记录,是否过去一段时间内有出现这2个IP的活动记录,若有,那就得提高警觉了。
远东银行遭骇事件5支恶意程式特征恶意程式档名病毒侦测名称SHA1msmpeng.exeBKDR_KLIPOD.ZTEJ-Abdb632b27ddb200693c1b0b80819a7463d4e7a98splwow32.exeBKDR_KLIPOD.ZTEJ-Bc7e7dd96fefca77bb1097aeeefef126d597126bdFileTokenBroker.dllTROJ_BINLODR.ZTEJ-Af891fde8908ae18801d7a0be1eeab07391c00c1bbitsran.exeRANSOM_HERMS.Ab30daf74b25b8615ada10cca195270c32e6b343aRSW72CE.tmpRANSOM_HERMS.Ad08573c5e825b7beeb9629d03e0f8ff3cb7d1716相关:
【远银遭骇追追追】骇客集团连续锁定台湾,台湾金融业历年遭骇事件簿
金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银
GitHub推出开源程式管理新功能,强化程式码安全、开源专案搜寻
图片来源: GitHub GitHub于本周三(10/11),在Universe开发者大会上发布一系列开源程式管理功能,分别是相依关系图(Dependency△Graph)、安全性警告(Security△Alerts)、新闻提要(News△Feed),以及探索(Exp
IBM开源程式开发模型Composer问世,为无伺服器运算应用开发推一把
图片来源: IBM IBM于本周二(10/10)揭露了新的开源程式开发模型(Programming△Model)Composer,促进无伺服器(Serverless)运算架构的应用程序开发,目前已在GitHub开放使用者下载。Composer是IBM旗下OpenWhisk服务
知名的市场研究机构Forrester于上周遭到骇客入侵,骇客窃取了该站的登入凭证以存取各种研究报告。Forrester并未公布骇客如何取得登入凭证,仅说攻击行动只限于Forrester.com网站上可供客户存取的内容,并无客户机密资
苹果释出macOS High Sierra 10.13补充更新程式,修补APFS密码外泄漏洞
苹果于周四(10/5)释出macOS△High△Sierra△10.13补充更新程式,修补了两个安全漏洞,其中一个漏洞会造成APFS加密卷宗的密码曝光,另一个漏洞则能用来窃取苹果钥匙圈(keychain)密码。APFS的全名为Apple△File△S