圖片來源: 

FireEye

資安業者FireEye準備陸續公布遭到FIN7駭客集團所利用的金融後門程式Carbanak的功能與設計,同時透露Carbanak早在2017年4月就被上傳到惡意程式分析網站VirusTotal,卻直至去年10月才被該公司的研究人員發現。

FIN7為來自東歐的駭客集團,它是全球迄今最危險也最會賺錢的駭客集團,利用所開發的Carbanak後門程式滲透全球的金融與銀行機構,攻擊範圍覆蓋全球逾40個國家,包括台灣在內,估計造成金融產業逾10億歐元的損失。

歐洲刑警組織於2018年3月在西班牙逮到FIN7集團的首腦,美國則在同年3月逮捕了3名隸屬於FIN7集團的烏克蘭駭客,摧毀此一惡名昭彰的駭客集團。

有趣的是,FIN7所打造的Carbanak原始碼早在2017年4月就被上傳到VirusTotal,卻一直未被發現。VirusTotal是個免費的惡意軟體分析平台,全球資安人員可上傳惡意檔案進行分析,也能自該平台存取各種檔案,然而,龐大的資安社群卻未能辨識Carbanak。

一來可能是因為Carbanak的作者只用"bot"來稱呼它,二來每周有數百萬個檔案被上傳到VirusTotal,而且也要有一定的程度才能辨識出Carbanak。

不論如何,FireEye在找到並分析該後門程式的原始碼之後,確認它就是Carbanak,並計畫分成四梯次發表分析結果。

在FireEye已披露的分析報告中顯示,以俄文撰寫的Carbanak的檔案大小為20MB,內含755個檔案及10萬行程式,有39個二進位檔案。它在與遠端C&C伺服器交流時,採用更多元與靈活的方式,還能偵測及繞過系統上所安裝的防毒軟體,此外,Carbanak的原始碼中含有多種攻擊程式、密碼及多個C&C伺服器。


Advertisement

更多 iThome相關內容