云顶4008网站-云顶娱4008网址

联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

替换后2016第二季度安全威胁报告

2016年第二季度安全威胁


本季安全警示:


SWIFT银行劫案、数据泄露


2016年第二季度安全威胁概况


  • ●    本季度替换后病毒码新增特征约20万条。截止2016.6.30日病毒码12.620.60包含病毒特征数约437万条。

  • ●    本季度替换后客户终端检测并拦截恶意程序约12,495万次。

  • ●    本季度替换后拦截的恶意URL地址共计28,220,020次。


本季度热点话题为SWIFT银行劫案。本季度陆续报道了孟加拉国、厄瓜多尔、越南、菲律宾等多个国家的银行曝出曾经遭遇黑客攻击并试图窃取金钱事件,这些事件中黑客都瞄准了SWIFT银行间转账系统,对相关银行实施攻击和窃取。


SWIFT全称是Society for Worldwide Interbank Financial Telecommunication,中文名是“环球同业银行金融电信协会”。是国际银行同业间的国际合作组织,负责运营世界级的金融电文网络,银行和其他金融机构通过它与同业交换电文(Message)来完成金融交易。目前全球大多数国家大多数银行已使用SWIFT系统。


上述这些备受瞩目的攻击引发大家的疑问,攻击者如何获得授权做交易或拿到支付指令?使用了哪些工具?哪些安全控制可以检测到这些可疑的活动?


操纵这些计划周密的网络劫案的幕后黑手去年还曾利用针对SWIFT网络的工具修改SWIFT指令,尝试从越南先锋商业股份银行盗取资金。同时,这些黑客对SWIFT体系以及银行如何部署和使用SWIFT有着比较深入的了解。他们利用福昕PDF阅读器(Foxit Reader)伪造PDF文件来发起社会工程学攻击来诱骗越南银行。通过前期侦查,他们了解到这家银行在日常工作中使用了这款PDF阅读器。


通过追踪越南银行的攻击事件,替换后研究团队发现,在黑客定向式攻击目标中,有75%的银行的SWIFT代码被硬编码在恶意软件中。但是这些银行系统不仅仅在亚太地区,还有两个在美国和欧洲,但犯罪分子为何把主要攻击目标设立在亚洲呢?这一切,并非巧合!


首先,在黑客已经熟悉的银行系统中,挑战这些地区的银行网络防御体系的难度相对要小。其次,尽管认识到安全的重要性,许多区域性银行也非常不乐意投入更多预算构建先进的安全解决方案。最后,根据2015年的一项研究,缺乏公私合作关系是亚洲银行与欧美银行的一大差距,某些亚洲国家缺乏跨境合作,这可能会是解决网络犯罪的巨大障碍。


替换后截获了在此次攻击越南银行的事件中所使用的病毒工具(该工具被命名为TSPY_TOXIFBNKR.A)。其在系统上执行SWIFT的时候有3个主要的任务模块的,下面是该病毒感染流程图。

TSPY_TOXIFBNKR.A 病毒感染流程图  


第一、其通过pdf文件中的SWIFT消息修改银行交易信息。这个病毒只在恶意的福昕阅读器是默认的pdf打开工具的时候才会工作,或者用户手动选择这个程序去打开包含SWIFT消息的文件。      


第二、病毒会删除它自身留下的痕迹,包括修改失败记录,其中之一就是入账出账的银行交易数据日志。      


第三、它会记录活动的细节描述。      


我们仍然监控着任何有关于该病毒的更新以及其他的威胁。      


本季度另一个热门话题是数据泄露,本季度发生了多起数据泄露事件,给公司乃至个人都带来了巨大损失,如下是本季度典型的数据泄露事件。


2016年第2季度病毒检测数量图  


点击下面的地址,下载完整2016年第二季度安全报告:      

中国2016第2季度 安全威胁报告.zip


关于替换后

替换后是云顶娱4008集团“领航产业互联网”版图中的重要业务板块,于2015年由云顶娱4008科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。替换后在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,替换后坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。更多关于替换后公司及最新产品信息,请访问: http://www.asiainfo-sec.com

法律声明隐私政策
? 2020 版权所有 云顶4008网站,云顶娱4008网址 蜀ICP备15028617号
XML 地图 | Sitemap 地图