揭密巴西Banrisul銀行網站遭遇5小時劫持的原因

2016年10月22日13時，某網路黑客團伙成功接管巴西一家銀行所有業務長達5小時，截獲了當時所有的金融交易數據。微步在線根據卡巴斯基公開的相關信息檢索發現，此次攻擊的受害者為巴西Banrisul銀行，該行成立於1928年，在巴西、美國、阿根廷和大開曼島等地擁有分行500家，客戶約500萬，總資產超過250億美元。

微步在線分析此次事件的攻擊流程如下：

· 攻擊者於2016年年中開始對Banrisul銀行網站進行全面調查分析，掌握網站體系架構，下載網站源碼。

· 利用漏洞或釣魚郵件方式入侵Banrisul銀行的DNS提供商Registro.br，控制了Banrisul的DNS賬戶。

· 2016年10月22日5時30分，在Let』s Encrypt網站註冊免費SSL證書，啟用Google Cloud上的仿冒網站。

· 2016年10月22日13時，修改銀行網站DNS解析記錄，將訪問銀行在線服務的用戶定向到仿冒網站，誘導輸入信用卡信息。

· 控制並關閉銀行的企業郵箱，以防止銀行通知受害者和DNS供應商。

· 誘導用戶下載偽裝成Trusteer的惡意軟體壓縮包（Truste_Install_EF69EC50F11D77D9.zip）並執行其中的Java文件（Truste_Install_EF69EC50F11D77D9.jar）。

· Java文件的執行後會從遠端伺服器（191.101.232.182）下載一個包含後門程序的壓縮包（windows.zip），執行其中的Avenger程序用於清理系統現有殺毒軟體，並將後門程序（windows.dll）註冊為計劃任務。

· windows.dll後門程序具備獲取系統信息、監控桌面窗口、獲取進程列表、遠程執行、文件上傳下載、命令等功能，會不斷嘗試訪問谷歌協作平台（sites.google.com）的隨機地址和C&C伺服器（192.99.111.91）的15111埠。

微步在線對國內20餘家主流銀行分析發現，大多數單位使用了內部郵箱用於域名管理，且域名伺服器也為內部所有，自身安全措施較為完善。而涉及的域名服務商則包括中國萬網、新網、中科三方、廣東互易網路、廈門三五互聯等10多家，其中多數公司近年來均被爆出過SQL注入、XSS等高危漏洞，可能泄露用戶敏感細信息，合作夥伴的安全問題同樣需要引起有關單位的高度重視。

………………………………………檢測措施………………………………………

以下兩種方式，任意一種即可：

· 網路流量：

建議直接部署微步在線威脅情報平台進行檢測，或者使用附錄的IOC結合日誌檢測：

如，通過防火牆檢查與IP 191.101.232.182的連接

· 主機檢測：

查看以下目錄或者目錄是否存在：

%appdata%MicrosoftWindows.bat

%appdata%MicrosoftWindows.exe

%appdata%MicrosoftWindows.txt

%appdata%Microsoft.zip

………………………………………行動建議………………………………………

· 利用微步在線提供的威脅情報或者威脅情報平台進行檢測，及時響應。

· 啟用DNS等基礎服務供應商提供的安全服務，如雙因子認證，以加強內部基礎設施的安全策略建設。

附錄

C&C

http://191.101.232.182/BR/Windows.zip

http://191.101.232.182/TM/Windows.zip

192.99.111.91

木馬hash

2f9fe6db7279da14576cc5cc9e92bffe

1444ff1fdb9a5cf273d915612523d77d

4aed960aebd6f38fdb1c7ee79dc79fbc

98d689250a373b5667c3458ee8df06a8

2bf96bceece3e565f6cd6b03cd3c9a33

723e8da040c24cd60901ebf4d4cc13a5

7e32de2a14db2b04bed8625dcf560fdd

f032731de7d3f584cda4e48451e0b134

3f272fb8e3cd3b2cb288580b63306361

7650b4834dc8d2ed8f546f7178af3140

248954276030a90f5856c03141bec23bce7ad1601414408134217adf98f02051

b86f15850ad307f4eb303acc11930f91e6befbcd2da73b5f17034a3c9f88fee9

7e9ada8f5f5aaaae7ecddd66f1352f9ede223c3ab5b8f2cfaa0657bc8fa94e1d

5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f

030a7ddf668c9049b6609af0a3f0523f57f7ab07fd6cbbcbed0b37ae8067f5c5

9b9cb6a6ddbdd67106e8a2f055563059b7dd14ff31ea336e20f00b1969da2976

fc0b440ef53b6814a0db53c4ca46e69b5d5651da57175342c33e2ec760c6de79

e4bc73ad9c7c33a714ecfe47c7a89fb4ead04a1987d90bf3dcb8531385502e36

a2b8e28882812ed7f6b1a674d373f038ffaffcb0ffc26eeff01cf1dc63cd1f8a

325f0adf4e45318ce312d2cb077b6de2dd170be6b3d4efe8c82e9a96faf13e96