揭密巴西Banrisul銀行網站遭遇5小時劫持的原因
2016年10月22日13時,某網路黑客團伙成功接管巴西一家銀行所有業務長達5小時,截獲了當時所有的金融交易數據。微步在線根據卡巴斯基公開的相關信息檢索發現,此次攻擊的受害者為巴西Banrisul銀行,該行成立於1928年,在巴西、美國、阿根廷和大開曼島等地擁有分行500家,客戶約500萬,總資產超過250億美元。
微步在線分析此次事件的攻擊流程如下:
· 攻擊者於2016年年中開始對Banrisul銀行網站進行全面調查分析,掌握網站體系架構,下載網站源碼。
· 利用漏洞或釣魚郵件方式入侵Banrisul銀行的DNS提供商Registro.br,控制了Banrisul的DNS賬戶。
· 2016年10月22日5時30分,在Let』s Encrypt網站註冊免費SSL證書,啟用Google Cloud上的仿冒網站。
· 2016年10月22日13時,修改銀行網站DNS解析記錄,將訪問銀行在線服務的用戶定向到仿冒網站,誘導輸入信用卡信息。
· 控制並關閉銀行的企業郵箱,以防止銀行通知受害者和DNS供應商。
· 誘導用戶下載偽裝成Trusteer的惡意軟體壓縮包(Truste_Install_EF69EC50F11D77D9.zip)並執行其中的Java文件(Truste_Install_EF69EC50F11D77D9.jar)。
· Java文件的執行後會從遠端伺服器(191.101.232.182)下載一個包含後門程序的壓縮包(windows.zip),執行其中的Avenger程序用於清理系統現有殺毒軟體,並將後門程序(windows.dll)註冊為計劃任務。
· windows.dll後門程序具備獲取系統信息、監控桌面窗口、獲取進程列表、遠程執行、文件上傳下載、命令等功能,會不斷嘗試訪問谷歌協作平台(sites.google.com)的隨機地址和C&C伺服器(192.99.111.91)的15111埠。
微步在線對國內20餘家主流銀行分析發現,大多數單位使用了內部郵箱用於域名管理,且域名伺服器也為內部所有,自身安全措施較為完善。而涉及的域名服務商則包括中國萬網、新網、中科三方、廣東互易網路、廈門三五互聯等10多家,其中多數公司近年來均被爆出過SQL注入、XSS等高危漏洞,可能泄露用戶敏感細信息,合作夥伴的安全問題同樣需要引起有關單位的高度重視。
………………………………………檢測措施………………………………………
以下兩種方式,任意一種即可:
· 網路流量:
建議直接部署微步在線威脅情報平台進行檢測,或者使用附錄的IOC結合日誌檢測:
如,通過防火牆檢查與IP 191.101.232.182的連接
· 主機檢測:
查看以下目錄或者目錄是否存在:
%appdata%MicrosoftWindows.bat
%appdata%MicrosoftWindows.exe
%appdata%MicrosoftWindows.txt
%appdata%Microsoft.zip
………………………………………行動建議………………………………………
· 利用微步在線提供的威脅情報或者威脅情報平台進行檢測,及時響應。
· 啟用DNS等基礎服務供應商提供的安全服務,如雙因子認證,以加強內部基礎設施的安全策略建設。
附錄
C&C
http://191.101.232.182/BR/Windows.zip
http://191.101.232.182/TM/Windows.zip
192.99.111.91
木馬hash
2f9fe6db7279da14576cc5cc9e92bffe
1444ff1fdb9a5cf273d915612523d77d
4aed960aebd6f38fdb1c7ee79dc79fbc
98d689250a373b5667c3458ee8df06a8
2bf96bceece3e565f6cd6b03cd3c9a33
723e8da040c24cd60901ebf4d4cc13a5
7e32de2a14db2b04bed8625dcf560fdd
f032731de7d3f584cda4e48451e0b134
3f272fb8e3cd3b2cb288580b63306361
7650b4834dc8d2ed8f546f7178af3140
248954276030a90f5856c03141bec23bce7ad1601414408134217adf98f02051
b86f15850ad307f4eb303acc11930f91e6befbcd2da73b5f17034a3c9f88fee9
7e9ada8f5f5aaaae7ecddd66f1352f9ede223c3ab5b8f2cfaa0657bc8fa94e1d
5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f
030a7ddf668c9049b6609af0a3f0523f57f7ab07fd6cbbcbed0b37ae8067f5c5
9b9cb6a6ddbdd67106e8a2f055563059b7dd14ff31ea336e20f00b1969da2976
fc0b440ef53b6814a0db53c4ca46e69b5d5651da57175342c33e2ec760c6de79
e4bc73ad9c7c33a714ecfe47c7a89fb4ead04a1987d90bf3dcb8531385502e36
a2b8e28882812ed7f6b1a674d373f038ffaffcb0ffc26eeff01cf1dc63cd1f8a
325f0adf4e45318ce312d2cb077b6de2dd170be6b3d4efe8c82e9a96faf13e96
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:ZD至頂網 |
※IBM的Watson遭遇重大挫折,Amazon、Microsoft、Google恐步後塵!
※前往月球的Beresheet遭遇CtrlAltDelete
※Blazers 先發中鋒 Jusuf Nurkic 對陣 Nets 賽中遭遇嚴重扭傷
※Cell Host Microbe:一種阻斷HIV的創新方法遭遇攔路虎
※Nike Air Presto Mid x ACRONYM?即將發售,Supreme遭遇拆招牌丨潮聞快食
※互聯網今天壞掉了:Facebook、Verizon、微軟、蘋果、Twitter遭遇重大故障
※每日安全資訊:Stack Overflow 遭遇黑客攻擊
※Windows、Linux等系統遭遇頁面緩存旁路攻擊
※美國男子遭遇事故被翻車:靠iPhone中Siri救命
※Facebook神秘硬體部門Building 8遭遇重組,團隊拆分加入AR、VR研發
※新iPhone遭遇大寫的尷尬:華為Mate 20實錘雙卡雙通
※iPhone X再次降價 華為P20.pro 遭遇最大勁敵
※蘋果遭遇集體訴訟:MacBook/iMac屏幕 主板易進灰
※在PoC代碼發布後,Oracle WebLogic伺服器遭遇大量攻擊嘗試
※男子開車遭遇事故被翻車:靠iPhone中Siri救命
※蘋果與Verizon互相推諉 iPhone XS遭遇無法激活
※蘋果在美遭遇集體訴訟:MacBook/iMac屏幕、主板易進灰
※OFF-WHITE x Air Jordan 「UNC」遭遇補貨危機,解構Vans將成為下半年最強黑馬
※德國限制分享Cookie,Facebook廣告業務遭遇瓶頸
※神吐槽:Faker前隊友遭遇車禍 衡陽民政點名表揚Doinb