文 / 中信银行科技运营中心 王培发 林智敏 王媛媛 金明星

随着银行业金融机构数字化转型的不断深入，以及移动互联网应用的蓬勃发展，网络攻击呈现明显的全球化、常态化、多样化趋势。计算机终端在承载业务系统访问、业务数据存储等功能的同时，也成为外部攻击的关键切入点。终端安全管理面临越来越高的挑战，一方面需要满足办公、业务、开发测试、对客服务等场景的使用要求；另一方面需要防范病毒传播、数据泄露、非授权访问、木马受控等多种风险。面对国内外严峻的网络安全形势，中信银行积极推进安全智能化、实战化建设，结合情报匹配、数据分析、高效运营等手段，探索了一条基于威胁情报构建终端威胁实时监测和响应的模式，以持续提升终端安全管理的成熟度，确保在形势复杂的网络安全空间中实现终端风险有效管控。

终端使用和管理现状

作为中国领先的商业银行之一，中信银行营业网点覆盖范围广泛，员工总数超过六万余人。我行通过部署多种类型终端，以满足日常办公、业务办理、客户服务等多元场景的需求。按大类可划分为普通终端、特殊终端和金融机具，细分包括办公、生产、测试、安防、外网、运维、柜面、ATM、叫号机、体验机、智慧柜台等，终端类别、网段及操作系统的多样性提高了终端安全管理的复杂度。

终端面临的安全风险

越来越多的银行安全运营者意识到终端已经成为攻击者最便捷的突破口之一，通过拿下内网终端、获取相应权限，攻击者可以不断深入触达内网服务器。在网络攻防日趋实战化和常态化、黑客攻击隐蔽性强且潜伏时间久的情形下，传统的终端安全监测手段多数是基于特征匹配等已有规则或攻击信息来识别安全风险，在监测的全面性、精准性方面尚存不足，难以精准地发现最新出现的隐蔽性高且组织性强的攻击行为，导致在实战攻防中未能及时采取有针对性的处置措施。

1.传统的终端安全工具无法有效识别新型威胁

在内部威胁方面，银行经常需要将大量的外部文件、安装程序通过非互联网渠道传输到内网终端，频繁的文件流转增加了病毒感染的风险。终端上安装的杀毒软件仅能检测到已知特征的文件病毒、蠕虫木马，无法识别和查杀一些隐蔽性强的远控木马、勒索软件及挖矿病毒等，导致内网终端上存在的木马病毒、黑灰产、黑客攻击威胁风险无法根除。

2.黑客攻击的目标重心瞄向终端

在外部威胁方面，银行经过多次网络攻防实战演习历练，针对互联网应用系统部署的WAF、IDS、蜜罐等安全防护措施逐渐完善，网络安全防御体系愈加成熟，基于已知漏洞开展的正面攻击很难突破银行内部网络，因此，外部黑客攻击的重心逐步转向供应链及终端侧。社工钓鱼、数据窃取、漏洞利用等面向终端的攻击手段层出不穷，外部黑客极有可能利用终端方面的漏洞发起网络攻击，危及银行机构的信息安全和业务稳定。

在网络安全上升到国家安全战略的大背景下，无论是从银行自身安全需求出发，还是从外部环境考虑，都需要我们切实提升终端安全防护水平，确保针对终端的攻击事件能够及时发现、快速隔离、精准定位、有效处置。

终端安全防护技术的探索和实践

近三年来，我行在充分识别终端所面临安全风险的基础上，针对内网、外网终端采取差异化的安全管控策略，构建覆盖全面的一体化终端防护机制。

1.远程办公场景首次尝试基于威胁情报技术的木马防护措施，取得良好成效

2020年伊始，随着突如其来的新冠病毒疫情，VPN远程办公系统成为满足员工日常办公、开发测试以及业务连续性保障的必然选择。为有效防范内部系统遭受攻击风险，我行自2020年开始在访问VPN远程办公的终端上推广使用木马防护客户端，该客户端基于域名DNS转发和威胁情报恶意域名匹配技术，实现对终端存在的木马下载、恶意软件反连、挖矿病毒、失陷主机、僵尸网络等威胁的实时云端DNS防护，并通过VPN远程办公系统的终端环境检查功能，限制仅有安装木马防护客户端的终端才能接入远程办公系统。

据统计，90%以上的终端被感染恶意程序后都会通过DNS协议与黑客远控端进行通信，因此通过引入威胁情报、递归解析以及DNS劫持技术，可快速识别风险并进行自动化拦截，拦截精准率达到99.99%。典型威胁包括xred蠕虫、Farfli远程木马、柠檬鸭LemonDuck木马等，威胁情报信息在终端威胁发现和终端防护方面的价值得到有力验证。

2.自研终端数字化管控系统，提升终端精细化管理水平

我行从2021年开始着重解决终端问题多、资产乱、风险高的问题，通过自研终端数字化管控系统以实现终端精细化管理。该系统通过在终端上安装Agent的方式采集终端配置信息、软件信息，综合网络准入、杀毒软件、桌管软件以及交换机ARP等后端信息，利用此类信息进行终端数字画像，建立动态终端资产台账，实现异常终端的自动分析、派单整改。通过每天自动发现、自动派单、每月通报整改结果的持续终端运营方式，全行异常终端占比从10%下降至1%左右，终端合规管理水平、精细化管理水平显著提升。

3.搭建非法外联监控平台，识别内网终端外联行为

2022年初，为精准识别内网终端是否具备外联通道，我行在互联网区搭建一套蜜罐系统实现内部终端非法外联行为监控，并在行内终端推送专用的检测脚本。该脚本运行后尝试连接部署在互联网的蜜罐，如果终端具备互联网访问渠道则会连接该蜜罐，蜜罐记录终端连接行为的同时实现实时告警，精准定位内网终端外联行为。通过搭建非法外联监控平台，识别出一批通过非授权途径访问互联网的内网终端。

4.内网终端DNS请求转发至云端DNS，精准发现木马受控等安全风险

结合威胁情报在访问VPN远程办公的终端上取得的成效，为进一步识别内网终端上存在的远控木马、勒索软件、挖矿病毒、黑灰产、黑客攻击等安全威胁，除持续监测终端外联行为外，2023年，我行将行内终端的互联网域名请求转发指向由运营商的DNS服务器调整为安全厂商云端DNS服务器，利用安全厂商云端DNS服务器的恶意域名情报信息，阻断行内终端域名解析和木马回联行为，防范终端下载木马文件、被恶意反连，同时根据阻断记录精准定位行内终端。

图1 内网终端域名解析防护图

基于DNS转发和域名匹配机制，2024年一季度发现245台终端存在恶意域名解析行为，威胁涉及僵尸网络、蠕虫木马、恶意软件外联、挖矿病毒等。经过定位、处置，内网终端残存的安全威胁得到进一步净化。

5.推广基于威胁情报和EDR基础的木马防护客户端，进一步提升外网终端防护能力

在应用内网终端各项风险排查措施的同时，我行发现部分连接行内互联网的外网终端设备感染蠕虫、木马病毒，存在非法外联境外恶意IP地址及域名行为，2023年下半年开始在外网终端推广基于威胁情报和EDR技术的木马防护措施。通过开启终端入侵检测与响应功能，持续对终端网络行为、进程行为、注册表行为、落盘文件、异常账号、内存行为等数据进行采集，将采集的数据与云端的IP、域名、文件HASH匹配，发现感染的终端立即采取隔离、取证、查杀等措施，实现对终端风险的进一步管控和清除。

随着上述措施的深入落实，监测和防护措施覆盖了内网、外网终端，终端安全防护体系日趋完善。

终端安全防护成效

经过持续不断地探索和实践，针对常见蠕虫、新型恶意软件以及APT攻击，结合流量监测、HASH检测、威胁情报IOC匹配、行为检测等手段，我行面对供应链攻击、零day漏洞和新型黑产等威胁做到了有的放矢。

图2 基于威胁情报技术实现新型威胁防护

1.2023年某办公软件供应链投毒事件

2023年8月，我行终端安全管理人员发现木马防护客户端识别个别外网终端存在十余次疑似远程控制域名（xxx-bj-config.oss-cn-beijing.aliyuncs.com）通信访问，结果显示该域名为疑似攻击者针对办公软件更新程序投毒后用于远程控制连接的域名地址，且由于该地址属于阿里云，通常会被认为是合法通信地址。EDR信息显示外网终端目录存在该事件攻击者投放的恶意文件：C:\Windows\System32\setups.exe，存在连接上述域名地址的情况。

图3 某软件供应链攻击路径图

2.银狐团伙APT攻击事件

2023年3月，银狐黑产团伙被首度揭秘，其攻击样本变种多、变化快，攻击资产分散且较为广泛，恶意样本投递手法和攻击方式多样，逐步成为对金融行业网络安全产生重要威胁的攻击团伙之一。我行监测到两台外网终端被银狐团伙控制，发现方式是在特定高权限目录下存在异常文件（C:\Users\Public\DocumentsnboDtojE\nboDt.exe、C:\Users\Public\Videos\S8R8RB\WS8SB8.exe），并且检测出合法签名程序加载恶意DLL的“白加黑”攻击手法。由于该恶意文件带有腾讯的合法签名，使得攻击者成功绕过终端安全检测机制。

图4 银狐APT攻击文件劫持示意图

以上两起事件能被及时发现，与精准的情报预警共享密不可分。依托安全厂商提供的域名、IP、文件HASH、APT报告等信息，将最新攻击特征转换为终端检测分析规则模型，不仅能时刻监测常规的攻击事件，也能及时发现APT级别未知隐蔽的攻击事件。处置过程无需终端用户进行任何操作，真正实现了定位、取证、清除无感化闭环处置。通过持续闭环定位处置，行内终端感染恶意程序远程控制通信拦截率接近100%，基本实现“所有终端远控威胁不出网、内网终端威胁闭环处置。”

后期展望

“道高一尺、魔高一丈”，在变幻莫测的网络空间里新型攻击、未知威胁屡见不鲜，我们需要摈弃传统的被动防护思维，基于威胁情报匹配、EDR行为分析等技术提高终端异常行为预警能力，加强对攻击者、攻击资产（IP、域名等）、攻击工具文件（进程或文件hash）、攻击手法（IOA或零Day）、攻击特征（TTPs）等情报的利用能力，提取分析最新的漏洞利用原理与攻击特征，转换成终端入侵检测规则，提升对未知攻击的检测分析能力，应对复杂多变的新型隐蔽攻击方式，构建内外网终端入侵检测、研判分析、追踪溯源、定位取证、处置响应一体化防护方案。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。