惡意軟體如何運作
拉姆尼特是一家銀行業 特洛伊木馬,這意味著它主要旨在竊取網上銀行的帳戶憑據。 然而,與許多銀行木馬一樣,Ramnit 被設計為高度模組化,使其能夠收集其他類型的憑證,例如社交媒體、電子郵件和其他帳戶的憑證,或下載和部署其他惡意軟體。
拉姆尼特通常通過傳播 網路釣魚 可能部署多階段惡意軟體的活動。一旦目標落入最初的網路釣魚活動並運行惡意軟體,它就會下載並執行其他惡意軟體,最終啟動 Ramnit 木馬。然後,Ramnit 將嘗試收集銀行憑證,並可能下載額外的 Ramnit 模組或其他惡意軟體以實現攻擊者的目標。
Ramnit 惡意軟體的顯著特徵之一是使用硬編碼域和域生成演算法 (DGA) 進行命令和控制。使用 DGA 的惡意軟體會產生一系列看似隨機的網域,並向其發送命令和控制流量。攻擊者的命令和控制伺服器執行相同的 DGA 並註冊這些網域,從而將流量導向攻擊者控制的系統。 透過使用 DGA,惡意軟體可以避開 DNS 封鎖列表,因為它不斷使用新的、未封鎖的網域來傳輸其流量。
威脅
由於 Ramnit 是一種模組化銀行木馬,因此該惡意軟體的主要威脅是丟失個人網路銀行登入憑證,這可能導致資金或用戶身分被盜。
然而,Ramnit 惡意軟體還可以部署額外的模組或用作其他惡意軟體變體的傳遞媒介。這意味著 Ramnit 感染的影響取決於攻擊活動的細節以及在受感染裝置上成功執行的惡意功能。
目標產業
Ramnit 主要是銀行特洛伊木馬,這意味著它的目的是竊取網上銀行的登錄憑據,網絡犯罪分子可以在未來的攻擊中出售或使用它們。 因此,Ramnit 主要針對個人而不是專注於特定行業。
已觀察到 Ramnit 活動針對特定行業的組織。 例如,2019 年的宣傳活動針對英國、意大利和加拿大的金融組織。
如何防範 Ramnit 惡意軟體
保護 Ramnit 銀行特洛伊木馬的一些最佳做法包括:
- Anti-Phishing Protection: Ramnit 惡意軟體通常透過下載程式作為網路釣魚電子郵件的惡意附件傳遞。反網路釣魚防護可以幫助識別、阻止或清理此類惡意內容,從而防止惡意軟體到達使用者的裝置。
- 端點資安解決方案: Ramnit 是一種成熟的惡意軟體變體,具有眾所周知的行為和功能。端點資安解決方案為組織或個人提供了檢測 Ramnit 感染並防止他們竊取憑證或部署其他惡意軟體的能力。
- 網絡安全意識培訓: Ramnit 通常透過網路釣魚電子郵件部署,依賴欺騙手段誘騙使用者執行惡意功能。訓練員工識別並正確應對網路釣魚攻擊有助於預防 Ramnit 感染。
- DNS 流量分析: Ramnit 惡意軟體通常使用 DGA,它產生一系列隨機網域用於命令和控制通訊。分析 DNS 伺服器上的網域名稱查詢可讓組織識別可能表示 Ramnit 感染的可疑網域名稱。
- 多重身份驗證 (經理學): 透過實作 MFA,攻擊者需要存取額外的驗證因素,使攻擊者更難利用這些遭竊的憑證。
- 零信任資安: 雖然 Ramnit 主要旨在竊取網上銀行憑據,但它也可以竊取其他憑據。 透過實施零信任安全性原則,並限制使用者帳戶的存取和權限,組織可以減少受入侵的帳戶所造成的潛在影響和損害。
使用 Check Point 偵測並保護 Ramnit 惡意軟體
Ramnit 是主要的銀行木馬之一,也是常見的惡意軟體變體,尤其是在亞太地區。但是,它只是公司面臨的幾個網絡安全威脅之一。 有關主要惡意軟體威脅和當前網路威脅形勢的更多信息,請查看 Check Point 的 2023 年網路安全防護報告。
Check Point 的 Harmony 端點 針對 Ramnit、其他惡意軟體以及對組織端點安全的各種威脅提供全面的威脅防護和偵測。有關 Harmony 端點的更多資訊並了解它如何幫助增強組織的惡意軟體威脅防護能力, 立即報名參加免費示範。
反映意見