傻瓜狐狸的雜碎物品

環球銀行金融電信協會（Society for Worldwide Interbank Financial Telecommunication，SWIFT）

或譯環球同業銀行金融電訊協會

WIFT 是一個協作組織，它運營著世界級的金融電文網絡

銀行和其他金融機構通過它與同業交換電文 ( message )，從而完成金融交易

近日傳出北韓駭客攻擊銀行重要系統，並進行轉帳動作。這跟去年孟加拉銀行受駭並損失近20億台幣的事件非常類似。這是典型的商業流程入侵攻擊(BPC)，這類攻擊利用APT的攻擊手法，入侵銀行內部網路之後，進行內網擴散或橫向移動，逐步取得重要主機(如SWIFT)的登入帳密或憑證，進而植入木馬程式在SWIFT相關系統上。

在植入木馬程式之後，除了竄改SWIFT程式之外，甚至會修改轉帳的對帳資訊，也因此不容易察覺這種異常的轉帳事件。

針對SWIFT等重要系統，我們建議參考下列防護措施：

在SWIFT系統上執行自我檢查

• 檢查否有異常檔案、異常連線
• SWIFT資料庫是否有大量失敗事件
• 系統日誌是否有應用程式的錯誤事件與異常登入事件

主動偵測異常程式或檔案

利用白名單系統(如SafeLock)可以主動偵測是否有異常的程式被執行起來。或是檔案異動監控系統(如DeepSecurity)，可以主動偵測是否有不正常的檔案被寫入重要目錄中。透過這類主動偵測，可以及早發現駭客入侵的跡象。

監控駭客內網擴散的活動

在SWIFT系統上，透過DeepSecurity的DPI功能，偵測駭客內網擴散的活動或行為，以此次銀行攻擊案例來說，駭客透過遠端排程工作，在目標主機上建立排程工作。此類內網擴散的攻擊事件可被DeepSecurity或DDI(Deep Discovery Inspector)偵測。 除此之外，跟SWIFT同網段的電腦也必須監控是否有異常的活動，一旦同網段電腦被入侵，SWIFT系統的風險也會大增。透過DDI(Deep Discovery Inspector)過濾重要網段的流量，除了可以偵測內網擴散活動，也可以偵測C&C連線，以及惡意程式的傳送。

SWIFT等重要系統應在隔離網段作嚴密保護

由於SWIFT系統的重要度極高，也因此安全的措施也應相對提高，建議可以考慮下列安全措施：

SWIFT系統不要加入Domain，具有Domain Administrator權限的管理員一直都是駭客攻擊目標，一個帳號的密碼或登入憑證被竊，所有電腦都可能被入侵。

較嚴格的存取控制，SWIFT系統應該在隔離網段，並且限制只有特定電腦才能存取SWIFT系統，以降低受駭的風險。

WiFi 晶片出包 ~ iOS 10.3.1 火速上線修補漏洞 

Windows 10 (版本 1703) Build 15063 預計 4 月 11 日開放更新 

OPPO 中價位級別手機的美麗與哀愁 OPPO F1s 使用心得 

MAGIPEA 美極品背景神器 – 絕美背景包 ~ 如外掛般 讓照片質感大大加分

OKD 歐肯得 Magneto Micro USB 磁吸線簡介及測試

想更快追蹤到更多的更新請加入傻瓜狐狸的粉絲團

(同時請您參考如何確實的看到所有粉絲團的更新)

如果您使用的是Google+可以把我加入好友圈^^

原文發表於傻瓜狐狸的雜碎物品