黑客「隔山打牛」劫持銀行網站5個小時 如何做到的?
本文作者:謝幺
導語:微步在線通報了一則威脅情報,還原了巴西 Banrisul 銀行被黑客攻擊的事件細節。
這天下午發生了一件怪事。她和往常一樣登錄網銀,網址明明是銀行官網,她卻總感覺網站有些不對勁,安裝了網站提示的「網銀安全控制項」,殺毒軟體突然自動關閉了,她不知道這是為什麼,明明就是銀行的官網網址……
這是個真實的事件。
擁有500萬用戶,總資產超250億美元的巴西 Banrisul 銀行,在當地時間 2016年10月22日遭遇了長達5個小時的網站劫持,期間所有用戶被「接管」到一個精心布置的釣魚網站,所有成功登錄的用戶都被竊取了憑據,並且電腦被植入惡意木馬。事後卡巴斯基的安全專家評價,這次攻擊事件是有史以來最大規模的行動之一。該銀行至今未發布任何公告,受影響用戶範圍不詳……
然而這一事件卻被威脅情報平台微步在線捕獲,他們通過技術手段還原了整個攻擊流程。發現黑客運用了一種堪稱「隔山打牛」的精妙攻擊手法。這種手法首次出現在銀行行業。
黑客「隔山打牛」搞定銀行
直接攻破銀行的業務系統,似乎不太可能,罪犯們決定來個迂迴攻擊。
犯罪團伙這次攻擊起碼準備了幾個月,因為幾個月前,他們就在谷歌雲服務商搭建了一個仿冒銀行網站,然後利用免費的網站證書供應商 Let"s encrypt 拿到 https 證書。
微步在線的資深威脅分析師察罕告訴雷鋒網。
搭建好網站,拿到 https 證書,釣魚網站就能在瀏覽器上展示「安全」標誌和綠色小鎖了。騙過用戶的肉眼只是第一步,然後就到了「隔山打牛」的關鍵步驟:黑客利用漏洞或釣魚郵件的方式搞到了 Banrisul 銀行在另一家網站 Registro.br 的賬號密碼。
Registro.br 是幹什麼的? DNS 服務商。也就是「隔山打牛」里的那座「山」。
這裡簡單科普一下 DNS 在網站中的作用。DNS 域名解析服務,是互聯網中的「帶路人」,負責將用戶帶到正確的網站伺服器。當你在瀏覽器中輸入網站網址時,其實是由 DNS 伺服器將你指引到正確的伺服器IP的。
那麼問題來了,DNS 服務既然能把用戶往正確的伺服器上帶,也就能把用戶往坑裡帶,攻擊者們想到了這一點。他們盜走了巴西銀行在 DNS 服務商那裡的賬號,然後將銀行網站域名指向他們精心構建的釣魚網站地址。
於是就出現了文章開頭的一幕,用戶即使一字不差地輸入了銀行官網的網址,進入的依然是釣魚網站。用戶輸入賬號密碼時,很難意識到自己正在將密碼拱手送人。這時網站再彈出一個「安全控制項安裝」提示,用戶便自然而然地裝上了所謂的「安全控制項」, 其實是惡意木馬。
這種方式在業內被稱之為「DNS劫持攻擊」,是一種比較常見的攻擊方式,但在銀行業之前沒有相關案例。
被劫持了幾個小時之後,銀行工作人員終於發現了問題,趕緊向用戶發送緊急郵件,並郵件聯繫 DNS 供應商,卻發現整個銀行內部的郵件系統失效了!
根據微步在線的威脅報告,該銀行一共有36個網站都被修改了 DNS記錄,不僅是網銀系統,連內部的郵件系統也被修改了 DNS 指向,導致郵件系統失效,銀行無法通過郵件來通知受害者,以及聯繫 DNS 供應商。
DNS 劫持整整持續了5小時之久,最終銀行將網站恢復了正常。然而在這期間所有登錄過的用戶信息早已泄露,並且電腦被植入了惡意木馬。
根據報告中的木馬樣本分析,這一惡意程序運行後會自動從遠程伺服器下載另一個惡意程序,用來關閉殺毒軟體,並且獲取系統信息、監控桌面、執行命令等等,並且不斷訪問一台遠程伺服器的某一個埠。顯然,那一頭坐始作俑者,操縱者整次攻擊。
細節回顧:銀行的「失策」
其實,曾經出現了有好幾次發現攻擊者的機會,但銀行安全人員沒有好好珍惜(等到失去後,才後悔莫及)。從安全攻防的角度上來看,這次事件完全有辦法避免。
首先,有專家分析,DNS 提供商 Registro.br 於 1 月份修復了一個跨站點請求偽造漏洞(一種漏洞類型,用於非法登錄他人賬號),攻擊者很可能是通過那個漏洞攻擊的他們,但巴西某銀行並沒有啟用 Registro.br 提供的雙因素身份認證機制,錯失了防禦住黑客的第一個機會,黑客成功攻入了 其 DNS 服務賬號。
微步在線在威脅通報上稱:
國內各大銀行網站也使用了的眾多域名服務商的 DSN 服務,其中多家域名服務商的網站也曾被爆出存在嚴重漏洞,可能泄露用戶敏感細信息,需引起有關單位的高度重視。
網站存在漏洞幾乎無可避免,但據雷鋒網(公眾號:雷鋒網)了解,國內的域名服務商像中國萬網、新網、廣東互易網路等等,也都提供了賬戶雙因素認證機制。及時開啟這些安全認證,能夠大幅提高賬戶安全性。
其次,黑客早在幾個月就開始準備「軍火」,但銀行遲遲沒有發現。微步在線的察罕還向雷鋒網透露了一個關鍵信息:黑客在劫持銀行網站之前的幾個小時,曾經多次修改 DNS 記錄,但是幾分鐘內又改回來了,分析師推測那可能是黑客在為正式劫持做測試。
「很可惜,銀行沒有注意到這個異常變化,這也暴露了該銀行在DNS威脅分析上的不足」 察罕說,通常在黑客進行一次完整的攻擊活動時,不會立刻行動,而是提前搜集信息、尋找漏洞、搭建環境等等,業內稱之為「網路殺傷鏈「(Cyber Kill Chain)。其中很多動作都會暴露攻擊者的意圖,如果能及時發現,就能及時響應威脅。
同樣,網站 DNS 出現變化很正常,但是如果忽然指向了一個陌生的 IP,或者說常理上不太可能出現的情況,比如騰訊家的網站忽然指向了阿里雲上的IP,這顯然不太正常。
這些變化其實就是威脅來臨的特徵,說明有可能「有人要搞你」。如果能及時獲知這些變化,就能及時發現並響應,不過很可惜的是巴西 Banrisul 銀行並沒有做到這一點,他們沒有發現攻擊幾小時錢的異常變化。
察罕告訴雷鋒網,目前這種攻擊手法在銀行業還是首次出現,不排除後續國內銀行也遭遇類似手法攻擊的可能性。國內各大銀行目前使用的域名服務商眾多,而域名服務商又處於外部,並不屬於銀行管控,因此提醒企業們及時排查 DNS 系統的安全性,並做好威脅信息監測, 堤防「隔山打牛」再次上演。
雷鋒網原創文章,網站轉載請至雷鋒網官網申請授權。但,歡迎轉發分享~
※飛行車真的要來了,谷歌創始人投資的Kitty Hawk年底發售!
※Uber將召開VTOL峰會,討論「飛行的士」的可能性
※搜狐Q1總收入3.74億美元,凈虧損6900萬美元
※騰訊設立搜索應用部 瞄準移動端流量服務與大數據
※美國商業智能公司Azoft:如何利用簡單的AI技術為零售商開發商品推薦系統
TAG:雷鋒網 |
※套現買房,銀行漏洞下的黑吃黑,賺滿誰的口袋?
※笨賊持兩把菜刀搶銀行,12分鐘落網,簡直蠢哭了!
※貓咪跑到了銀行櫃檯前,還想鑽到辦公區域,貓:我要取點小魚乾!
※笨賊辛苦挖穿銀行牆壁偷盜,卻只偷走1百多元
※4年時光,民營銀行「都挺好」?
※鋼鐵俠:我幾秒買棟大樓,蝙蝠俠:我買下了銀行,鴨子:都閃開
※手持菜刀搶銀行,謎一般的男子!
※段子手神回復:我在銀行存的1150碗牛肉麵被誰吃了?
※女子辭去銀行鐵飯碗,開泡麵小食堂,半年虧20萬,網友:有骨氣
※遊戲周邊推出一張卡,無數玩家不惜賣腎搶購?網友:是個狠銀行
※廣東女子分期買車,看到第一個月的賬單傻眼了,銀行:這回是我們的鍋
※小伙帶四胞胎女兒逛街,路人爭前恐後拍照,網友:四座招商銀行!
※羅山兩位大姐買菜路上撿到七千多元現金和數萬元存摺,她們趕緊去了銀行和充話費的地方…
※遛粉兩年後,「小米銀行」這次是認真的嗎?
※小伙4款限量火影手辦,到最後一個網友坐不住,你家開銀行的?
※四年時光,民營銀行「都挺好」?
※鍋碗瓢盆刷7萬美元,奧尼爾橫掃超市,銀行都怕了他!
※網商銀行四周年,要讓路邊小攤也能一秒貸到款
※35歲「女悍匪」搶完銀行後,駕車一頭撞上大貨車,連車都是剛搶來的!
※從銀行隔壁商鋪挖了個地道,劫匪搬走上億現金,至今仍有未解之謎