企业动态

    朱某海，从2004年到2016年12年间，制作木马病毒入侵、控制多家大型基金公司及证券公司的2474台电脑，盗取股票交易指令和内幕信息，非法获利约186万元......

    近日，一则针对金融证券等行业实施定向网络攻击长达十余年以牟取暴利的新闻再次吸引了网民的眼球（《一CEO被判6年：编写「木马病毒」入侵金融机构，控制2474台设备，获利186万》）。

    这则新闻是继上海证券报于2020年披露《用木马窥视基金交易指令，干了12年！…》后，对犯罪人员供述、审判做详细披露的新闻。

    但事实上，这两则新闻均不是首次揭开犯罪真相的时间。

    早在2015年，部分证券客户相继反馈在所部署的天眼系统上收到了高危告警，奇安信安服团队接到客户应急处理需求后，迅速赶往客户现场对机房相关服务器开展现场勘验，提取了该攻击行动中涉及的恶意代码和高可疑网络活动的数据线索，与威胁情报中心红雨滴团队（原天眼实验室）共同分析挖掘，发现攻击者利用漏洞控制了多台服务器，并在被控服务器上植入了远控木马，经分析确认这是一个国内黑客组织，以获利为目的，针对我国金融行业进行长期的APT攻击，其中包括市场上几个主要证券服务公司。攻击团伙对所渗透的网络资产进行长期地秘密控制，读取数据牟利。

    最终，经过一系列的分析溯源，定位到主犯朱某海，协助国家有关部门破获这起罕见特大网络内幕交易犯罪案件。

    之后，奇安信威胁情报中心发布了相关报告（点击文末阅读原文查阅），分析了攻击者的攻击路径。因其攻击者与金融机构为目标这一特征，隧将该攻击行动命名为“黄金眼”APT网络攻击。

    法网恢恢疏而不漏，接下来，一起揭开奇安信安服人员利用天眼让隐匿12年的金融“APT大盗”落网的细节。

    2015年的一天，某金融客户侧的天眼系统上出现内网主机A对局域网其他主机进行“SMB爆破”和“利用xp_cmdshell执行命令”的告警，一线人员发现后迅速对主机A进行排查，发现了可疑的可执行文件。

    随即将可疑文件交给天眼实验室研究人员分析，经过分析确定，该可疑文件是由专业团队开发维护的远控木马。随后几日，多个基金客户相继反馈发现了同样的远控木马。分析人员怀疑可能是APT组织。

    接下来，分析人员对恶意样本进行分析，提取出多个外联的域名和链接，发现其主要用于获取屏幕监控插件、键盘记录插件，确认为是一个功能丰富的远控木马。

    此外，还发现攻击者在内网穿透过程中通过木马上传了两个辅助工具用于内网渗透。其中radmin用于Windows系统密码爆破，finpass用于获取已登录用户的密码信息。

    为了进一步获知攻击者的IP信息，于是进行了深度的溯源分析。

    首先，分析人员在分析样本的过程中发现，木马与控制端的通信协议存在漏洞，利用该漏洞可以对控制端进行反制。经过一系列反制操作后，分析人员成功拿到了其中一台服务器的控制权限。

    之后，对该服务器进行分析时发现，在该主机的进程日志中，曾经连接过一个VPN的动态域名****.**22.org。该域名解析到的IP地址为**.**.*.137，怀疑该IP为攻击者的资产。

    对该IP的端口进行扫描，发现1723端口开启，而该端口正是该VPN的服务端口。确认该IP的服务器为攻击者资产。

    最后，对该VPN的动态域名进行社工挖掘，与该VPN客服线上沟通后，成功拿到了域名的注册邮箱、手机号，又通过手机号找到了攻击者的真实姓名为朱某海，性别男，1970年出生，大学文化，系广州某某软件有限公司、深圳市某某软件有限公司、深圳市某某科技有限公司法定代表人。

    在对样本进行分析的整个过程中，分析人员还发现样本的某核心模块最早版本号可以追溯到2004年，可见攻击事件的背后是一个长期实施攻击的团伙。

    从以上各方面来看，这次分析人员所面对的团伙是一个货真价实的APT组织。

    至此，隐匿12年的金融“APT大盗”终于落网。奇安信威胁情报中心红雨滴团队（原天眼实验室）与安服团队将发现的案件素材收集后，第一时间上报国家有关部门。

    最终，朱某海在广东省深圳市的家中被抓获。

    由于当时案件一直在进一步办理之中，因此，犯罪细节迟迟没有公开。而随着时间的推移，该案件终于告一段落，“APT大盗”的犯罪细节也浮出了水面。

    后记

    金融信息系统作为国家关键技术设施的重要组成部分，越来越被不法分子所关注；同时，由于其利益驱动特性，金融行业因其与交易和金钱直接相关，也因此成为了黑客进攻“首选”，沦为APT攻击重灾区。

    捍卫金融安全是全社会的责任，天眼作为网络安全威胁检测与响应领域的排头兵，先后支持国家有关部门破获多起涉网犯罪案件，有效打击新型网络犯罪，得到了国家有关部门的高度评价。下一步，天眼将继续积极履行社会责任，加强警企协作体系化建设，利用智能网络威胁检测、综合态势分析、高级威胁深度溯源等能力，做好案件线索提供工作，助力国家有关部门高效破获信息网络犯罪案件。