近日，趨勢科技 (中國區) 網絡安全監測實驗室(CRTL)最新監測到數起針對國內金融行業的APT(Advanced Persistent Threat，高級持續性威脅)攻擊事件。該威脅變化多端，會導致用戶重要信息數據泄露。趨勢科技通過檢測BKDR_CORUM家族、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用檢測TROJ_GENERIC.APC等惡意病毒，目前將此威脅命名為“證券幽靈”。趨勢科技特別提醒金融行業用戶需要做出應急響應，評估內部網絡風險，謹防韓國金融行業APT攻擊事件的“翻版”。

CRTL研究表明，“證券幽靈”惡意威脅擁有了更加典型的APT攻擊特點，瞄準銀行、證券等更具攻擊價值的企業網絡，并主要針對IT管理人員的終端、域控、DNS服務器、網絡安全和業務管理軟件服務器。其感染途徑可以通過網絡共享、或由其他病毒及被篡改后的第三方軟件傳播釋放，但“證券幽靈”進入企業內網后不會立即大規模傳播，反而會潛伏下來，并尋找其他更具價值的數字信息和替代者。

趨勢科技(中國區)技術總監蔡昇欽表示：“該威脅極具‘智能’，針對金融行業IT管理人員和網絡服務節點服務器進行攻擊，并尋找網內軟件的漏洞進行全網控制。由于遭受攻擊的人員和服務器節點權限極大，病毒攻擊的特征將被視為正常通信和授權操作，其后續可能造成的數字資產泄露危害不可估量。一旦全面觸發，金融用戶將面臨歷史上從未遭遇過的沉重打擊。已經部署趨勢科技TDA的用戶，將能從威脅預警和趨勢科技報告信息中第一時間發現該病毒的網絡惡意通信行為和感染源。而其他企業，特別是證券和基金類公司，建議管理員應立即啟動IT風險管理流程、有針對性的排查此次APT攻擊釋放的惡意程序代碼。”

據了解，該病毒“藏匿頗深并比較狡猾”，還具有：隱藏文件真正路徑、為惡意DLL文件找“替身”、惡意軟件完整性監測、偽造軟件版本信息、免殺和清除日志等特性。此前，趨勢科技在事前通過TDA 的啟發式偵測與沙盒動態分析提示，監測出韓國APT攻擊相關郵件中的惡意附件，并使用定制化防御策略，幫助趨勢科技的韓國客戶事先發覺并采取防護措施，成功抵擋了黑客攻擊。而趨勢科技TDA防御體系，也將會為其在國內金融用戶防范APT過程中扮演相同的角色。

趨勢科技作為全球服務器安全、虛擬化及云計算安全領導廠商，已經攜手國內金融客戶成功攔截多次APT攻擊的趨勢科技，幫助用戶擺脫了以特征碼為主的傳統安全產品的局限性。而針對“證券幽靈”惡意威脅，用戶也不必在后面“苦苦追趕”。趨勢科技建議：使用趨勢科技防病毒客戶端的客戶，升級到最新病毒碼，便能自動清除目前該惡意軟件的所有變種。而未采用TDA產品和非趨勢科技防病毒客戶端的用戶, 需要針對以下關鍵信息進行“自查”，或者可以使用趨勢科技提供的ATTK掃描病毒并收集信息，尋求趨勢科技工程師的幫助。

最新一輪的金融行業APT攻擊威脅洶涌襲來，趨勢科技提供的以下技術細節可以幫助用戶查找“證券幽靈”存在的可能性：

一、部分特征表現

◆利用反向連接技術連接到控制服務器的443端口，實現后門功能;

◆使用安全軟件，在目標計算機上創建用戶，并打開共享，再利用遠程計劃任務啟動;

◆通過Winlogon的Notify和Service方式自啟動，部分變種會替換系統的DLL;

◆在文件系統中創建Junction，將系統DLL復制成和惡意DLL同名，用于混淆用戶 ;

◆在注冊表中創建briefcase.server的鍵值，用于記錄狀態、配置和備份信息。

二、如何判斷是否受到威脅：

◆使用趨勢科技TDA能有效發現內網中被入侵的計算機和病毒的網絡行為;

◆目前我們發現感染該惡意軟件的主要是金融行業的用戶，特別是證券和基金公司。建議這些公司進行檢查;

◆對網絡流量進行分析，發現異常的網絡流量，特別是非工作時間的網絡訪問或者周期性地訪問相同的網站;

◆對內網的通訊進行分析，找到異常的端口通訊;

◆對域登錄記錄進行分析，找到異常的登錄或者密碼猜測行為;

◆如果懷疑受到威脅，建議將檢查重心放在服務器網段和對服務器有管理權限的IT人員。特別是域控、文件服務器、安全軟件服務器等;

◆檢查計算機是否存在HKCR\Briefcase.server注冊表項目;

◆檢查系統中是否有被重命名的系統文件，是否有異常的reparse point到System32目錄。