报告：金融行业网络威胁研究(上)

本篇报告内容较长，将分为上、下两篇发布，本文为上篇。

一、概述

二、金融行业背景

三、金融机构情报侧的风险发现

3.1 互联网侧攻击态势分析

3.2 失陷主机统计分析

3.3 互联网暴露面及数据泄露统计分析

3.4 金融机构攻击事件剖析

3.4.1 鱼叉邮件攻击

3.4.2 内网渗透攻击

3.4.3 APT定向攻击事件

四、全球金融行业网络威胁态势

五、金融企业网络安全实战化能力提升—典型实践

5.1 金融企业安全建设现状分析

5.2 金融企业实战化能力提升典型实践案例

5.2.1 情报赋能安全运营体系—某大型银行威胁情报实践

5.2.2 XDR方案提升全方位安全检测能力—某银行XDR深度应用

5.2.3 多职场办公外网统一安全管控—某证券机构威胁情报实践

5.2.4 构建基于攻击情报的自动化封禁能力—某大型金融机构情报建设实战

六、建议及总结

七、附录

概述

本篇专题研究报告发现金融机构当前面临的网络威胁简要概括如下：

金融机构生产运营过程中面临着大批量的网络攻击活动，其中以源自互联网侧的网络渗透攻击为主、其次为钓鱼邮件攻击；
金融机构内部主机失陷占比最多的是挖矿木马，其次是僵尸网络及其下载衍生的各类家族木马，勒索病毒和 APT 类攻击占比最小，但依然存在真实攻击案列发生；
金融机构普遍存在内部网络资产暴露、敏感数据泄露等互联网侧威胁，黑客组织对金融机构敏感数据的兴趣逐渐升温；
金融机构供应链安全问题形势严峻，传统的网络、服务、运维等安全信任体系值得反思。

金融行业背景

信息化建设与数字化转型深刻地改变了各行业的业务模式，在带来了发展和机遇的同时，也带来了风险，这一现象在金融行业最为显著。

金融行业的发展经历了从金融电子化到互联网金融、再到现在的金融科技这三个风向的重大变革，所谓金融科技，即“金融”+“科技”，指利用前沿技术变革业务流程，推动业务创新，突出大规模场景下的自动化和精细化运作，代表性产品或业务如大数据征信、智能投顾风险定价、量化投资、数字货币等。随着金融科技应用深化及各类市场主体之间的对接合作不断扩展，金融业基础设施的数字化转型和能力提升、跨领域的金融科技市场主体合作成为主流趋势，并且技术与业务的边界模糊化，业务反向驱动技术、金融应用场景成为新技术研发和应用的重要驱动力。

就近年来金融行业的信息化趋势来看，金融科技与金融业务正在深度融合的过程中，诸如AI、区块链、大数据为基础的新型技术在不断为金融企业的业务创造更多的价值。然而，在新型技术不断引用和落地的过程中，也延伸出了很多新的安全问题（隐私加密、API安全、高级威胁攻击）。金融市场天然拥有海量标准化大数据，基于金融科技的特点，金融市场信息化数据会集中化，数据交互频繁化，风险面和攻击事件将成倍增长。国内外安全机构披露的针对金融机构的网络攻击事件层出不穷。

图【1】金融机构经典网络安全事件

在新技术的广泛使用后，业务产生的数据资产将更为庞大和集中，高价值的数据资产会成为黑客组织的重要攻击目标，这也对金融企业的安全建设提出了更高的要求。除了金融机构自身的网络合规性建设，更需要全方位提升系统安全防御及检测能力。从威胁情报角度来看，借助威胁情报精准、及时的检测能力扩充整体安全防御体系可有效弥补传统被动式检测方案的短板，国家层面出台的网络安全法、公安部1960号文、等保2.0等法规政策也明确提出基于威胁情报检测监管的规范要求。

图【2】网络安全防御体系演变

金融机构情报侧的风险发现

基于微步在线海量情报数据、强大的情报自动化生产能力，我们针对金融行业方向的网络威胁态势展开了深入调研统计分析。金融机构面临的网络威胁可以分为三部分：源自互联网侧的攻击威胁、内部主机失陷类威胁、互联网侧资产暴露面及数据泄露类威胁。其中渗透攻击类型的互联网侧攻击种类繁杂数据量较大，占据金融机构日常威胁的80%以上；内部主机失陷类威胁需要机构网络运维人紧急处理并排查评估受损程度，此类威胁一般占比较小；互联网暴露面及数据泄露类威胁是以外部互联网侧视角评估金融机构易受攻击风险以及数据泄露的结果，此类威胁评估早已成为衡量金融机构网络安全状况的重要指标之一。

3.1互联网侧攻击态势分析

研究发现，真实环境中金融机构面对的网络威胁以源自互联网侧的渗透攻击为主，如常见的 IoT 设备漏洞扫描、指纹信息收集、特定服务口令爆破、应用软件系统注入等。

图【3】 NDR威胁检测平台告警统计

我们对金融机构日常遭受的各种繁杂的特定入侵行为统计梳理，金融机构面临的整体网络风险Top50类别列出如下：

图【4】金融行业常见网络威胁Top50

继续对上述金融行业常见网络威胁 Top50 按照大类威胁进行梳理统计，其大类威胁占比如下饼状图所示，其中漏洞注入入侵类占比最高，约68%，其次为信息收集类，约19%，相较于撞库爆破、客户端失陷等威胁，互联网侧面临的漏洞扫描、利用类的威胁更加频繁。

图【5】金融行业Top50威胁占比

为了便于了解各细分行业特有的网络威胁态势，我们以银行、证券、金融企业这三个细分方向为例，对其告警数据进行分开梳理统计，发现漏洞入侵注入、信息收集这两类外部威胁占据 TDP 威胁告警的80%以上，各细分行业所面临的威胁类型占比趋于相同。

图【6】金融行业各细分行业威胁占比

外对内威胁是绝大多数机构或企业面临的主要网络威胁，通过分析整体威胁面貌有助于我们有针对性的去评估网络环境中的脆弱资产、准入环境风险。

3.2失陷主机统计分析

基于甲方安全运营的角度考虑，除了关注互联网侧的整体威胁态势，内部失陷资产的处理排查也是当务之急，失陷背后的入侵通道即是最真实可靠的安全缺口。对于失陷机器的精准检测同样也是威胁情报类检测产品最直观的能力体现。

研究发现当前金融机构主要威胁类型如下所示，包括僵尸网络、挖矿木马、恶意下载、家族木马、网络钓鱼、蠕虫病毒、勒索软件、APT 攻击八类。

图【7】内部失陷机器类型统计

其中占比最高的为挖矿木马、恶意下载、家族木马，分别占据失陷告警的28%、25%、25%；其次为僵尸网络，占比11%；其他的如钓鱼、蠕虫、勒索等威胁占据11%。考虑到失陷机器上的植入木马上下文连续性，其中的僵尸网络、挖矿木马、恶意下载、家族木马这几类标签会存在一定程度重叠。对于失陷威胁占比最高的挖矿木马，其与当前虚拟货币形势息息相关，近些年区块链及虚拟币逐渐火热，在经济利益的驱使下，大量挖矿木马诞生，也使得远控后门的迅速更新迭代，“肉鸡”、“矿机”交易频繁。

图【8】失陷主机威胁类型占比

金融行业失陷类告警威胁类型Top20如下所示，其中挖矿类型告警占据榜首，其次为恶意下载类型告警。已知背景的告警威胁具有代表性的有麻辣香锅病毒、驱动人生后门、Dorkbot 僵尸网络、Andromeda 僵尸网络、AsyncRAT 间谍木马等。

图【9】金融行业失陷威胁Top20

3.3互联网暴露面及数据泄露统计分析

随着金融机构在互联网侧的IT资产数量日益增多，其暴露的信息也越来越多。从甲方安全运营工作立场来看，缺乏外部事件对企业的安全感知；资产体系庞大，存在安全人员不掌握的影子资产无法进行安全防护；企业员工、核心代码等核心数据无意被上传到互联网的公共平台上，会对企业网络安全或企业声誉商誉造成损失。研究发现，当前金融机构所面临的常见的互联网暴露面及数据泄露类威胁如下:

威胁分类	举例说明
内部资产隐患	低版本SSL证书；网络配置不合规；对外开放的登录入口；对外暴露敏感端口或服务；第三方风险代码或组件……
数据泄露风险	内部文件泄露；暗网数据泄露；企业邮箱账户泄露；代码泄露……
漏洞威胁	网络设备漏洞；软件平台漏洞；第三方服务组件漏洞……

表 1 外部威胁分类

基于已积累的内部威胁数据进行统计分析，从各类别风险因素的数量级来看，金融机构最常见的风险为内部资产的安全隐患，其次为漏洞风险和数据泄露风险。

图【10】金融机构外部威胁一览

展开来看金融机构内部网络资产安全隐患，排在前三的风险依次为：不安全的第三方 JS 脚本、SSL 证书风险、HTTP 配置不合规。诸如此类的各种风险因素，在攻防对抗中如果让攻击方收集到此类信息并形成完整攻击通道将对目标网络系统造成不可控的破坏。

图【11】金融机构内部资产安全隐患占比

敏感数据泄露事件同样是金融机构及其监管单位重点关注的高危安全事件之一。对于金融机构而言，出于其特殊的行业背景，数据敏感度高、黑市变现价值高的特点均会促使恶意数据泄露事件的发生，如窃密类的网络攻击活动、内部人员的蓄意为之等。除此之外，机构内部人员在使用网络云盘、文库、代码仓库等网络平台进行数据转移、存储时，经常会因为个人疏忽或未做数据脱敏处理等原因误将机构内部敏感数据泄露到公网。近几年来，互联网曝光的金融机构敏感数据泄露事件层出不穷。我们对本次调研的金融机构公网数据泄露情况统计如下，其中最为常见的是文件泄露事件，占据58%，其次为代码泄露事件，占据32%，最后为邮箱泄露事件和暗网数据泄露事件。对于文件泄露事件而言，其一般为企业内部人员操作不当而泄露出的内部会议文件、通知文件、培训内容、工作模板等等；代码泄露多为通过 gitlab、gitee、github 等平台流出，此类事件跟程序员依赖 github 等平台的个人习惯有很大关系，金融机构核心业务系统代码泄露一般会带来非常长远的风险隐患；占比最小的暗网数据泄露事件一般跟蓄谋的犯罪事件直接相关。

图【12】金融机构数据泄露风险

3.4金融机构攻击事件剖析

金融机构在日常的正常生产运营过程中不可避免地会暴露部分网络资产，除此之外由于内部网络配置策略不合规、突发高危网络设备漏洞等问题均会继续增大机构被攻击风险。排除不可控的 DDoS 攻击和由于内部人员主动参与造成的攻击事件，金融机构遭受的中高强度网络攻击主要分为两大类：鱼叉邮件攻击、远程渗透攻击。从攻击流程来看，绝大多数的攻击行为处于以资产探测、信息收集为目的的侦察阶段。我们结合部分具有代表性的金融机构网络安全事件说明真实环境中的网络威胁。

3.4.1鱼叉邮件攻击

金融机构外部邮件系统是网络攻击事件的重要入侵渠道，其背后攻击者多为国外大中型黑产组织，投递邮件一般包含恶意攻击文档附件或恶意外链，受害者打开对应内容之后，攻击者可后台实现诸如信息窃密、本地账密提取、僵尸网络肉鸡等功能。

图【13】金融行业鱼叉邮件

从邮件内容来看，黑产组织常用的“发票”、“回执单”、“交易清单”等相关的虚假话术正好与金融机构日常的国际贸易业务相关邮件主题较为贴近，这导致内部工作人员更容易被钓鱼邮件误导从而打开恶意文档或恶意外链。

图【14】金融行业鱼叉邮件话术

除了部分针对金融机构人员的个人 Web 邮箱账号钓鱼，攻击者投递载荷多为窃密类型木马或僵尸网络后门，如 AgentTesla、Formbook、Ursnif、Lokibot、Trickbot 等系列木马。下图展示的为 AgentTesla 窃密木马的邮箱后台，该木马收集 PC 端浏览器记录账密等数据通过境外电子邮箱进行回传。

图【15】银行木马后台窃密展示

诸如此类的黑产鱼叉攻击活动短期内并不会给金融机构造成直接的经济损失，用户侧多数时候对此类攻击事件处于无感知状态，但是其潜在风险是无法预计的，我们并不能评估当前的信息泄露及失陷 PC 在后续会不会引发高强度的定向攻击事件。从攻击者角度来看，当前境外黑产组织多采用成熟的 SAAS 模式进行运营，自动化的攻击服务、收集敏感 PC 数据、后门植入权限等均为该违法的地下产业输送经济利益。

3.4.2内网渗透攻击

2021年10月，微步在线协助某金融机构处理一起因邮件服务器失陷导致的域控攻击事件，经深入取证调查发现，该机构两地非生产网域控失陷、数十台主机失陷，在域控渗透阶段，攻击者完美避开了全流量检测系统、蜜罐系统、终端杀软及其他检测设备。经过深入分析推理，还原此次攻击事件基本入侵流程如下图所示。攻击者采用 Microsoft Exchange 1Day 漏洞入侵该机构邮件服务器，使用 Mimikatz 等密码抓取工具在邮服短暂驻留后成功横移至两处位于两地的非生产网域控服务器，进而两地域环境完全失陷。可幸的是，因为发现及阻断及时，当前除了仅有的几次异常登录之外暂未发现明显的网络破坏或数据资产失窃等操作痕迹。

图【16】某金融机构真实网络渗透攻击流程

域控机器失陷这类重大网络安全事故一般会给应急处置工作带来很大困难。金融机构自身网络系统复杂，域控失陷意味着域内所有主机在攻击者面前“裸奔”，如果存在部分主机跨域这类违规配置策略将造成其他域环境的攻击隐患，同时攻击者对域环境的修改也会使得攻击途径复杂化。从应急处置角度来看，入侵排查的基础是各类安全设备日志、网络设备日志、网络流量等数据，数据是否健全将直接影响排查效果，实际取证排查过程中无论是因为机构自身审计数据不全还是因为攻击者主动删除关键日志导致取证进度放缓或停滞都是大概率出现的情况，无法完全排查的客观事实同样给受害机构埋下了攻击隐患。

对上述域控失陷案例中受害机构网络风险评估发现，该机构存在不少较为常见的风险因素，如内部网络资产暴露面过大、多业务网络共用AD域、域环境划分不明确、管理员弱密码等等。诸如此类的安全隐患问题几乎出现在每一次网络安全应急事件中，但亡羊补牢为时未晚，如何从源头做好安全合规建设、降低易攻击风险是各甲方机构需要深入思考的问题。

3.4.3 APT定向攻击事件

“危险密码”（Dangerous Password）APT 组织是由微步在线率先披露的疑似具有朝鲜背景的高级威胁团伙，该组织至少于2018年3月开始活跃。后续芬兰安全公司 F-Secure 对危险密码 APT 组织追踪发现，该组织疑似为 Lazarus APT 组织的一个分支机构。“危险密码” APT 组织的主要攻击方式为鱼叉邮件攻击，目标人员集中在加密货币行业。值得注意的是，其投入使用的后门组件会监测主机是否存在“金山毒霸”、“360”等软杀进程，以判断绕过或是否驻留等后续操作，此行为说明国内用户同样处于该组织攻击范畴内。

图【17】“危险密码”APT组织攻击诱饵

历史攻击活动中，攻击者多通过钓鱼邮件投递恶意文件下载链接，诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件，压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式，用户启动后会下载后门脚本直接执行，同时展示文档密码迷惑用户。其攻击流程如下图所示：

图【18】 “危险密码”APT组织历史攻击载荷执行流程图

区别与传统 APT 组织的政治间谍独特属性，“危险密码” APT 组织的攻击目标早已不再局限于政府机构了，而是偏向于直接攻击金融机构窃取钱财。除了臭名昭著的 Lazarus APT 组织，FIN7、Carbanak 等 APT 组织均是如此。面对 APT 类的高级定向攻击活动，传统安全防御系统能力多数情况下会大打折扣，如何应对未知的高强度定制化攻击活动同样是金融机构需要长期思考的难题。

– END –

上篇报告已结束，精彩还在继续，敬请期待下篇。

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。