劫持銀行網站5個小時，駭客如何做到的？

分類＼手機
時間＼2017-04-25

這天下午發生了一件怪事。

她和往常一樣登錄網銀，網址明明是銀行官網，她卻總感覺網站有些不對勁，安裝了網站提示的“網銀安全控制項”，殺毒軟體突然自動關閉了，她不知道這是為什麼，明明就是銀行的官網網址……

這是個真實的事件。

擁有500萬用戶，總資產超250億美元的巴西 Banrisul 銀行，在當地時間 2016年10月22日

遭遇了長達5個小時的網站劫持，期間所有用戶被“接管”到一個精心佈置的釣魚網站，所有成功登錄的用戶都被竊取了憑據，並且電腦被植入惡意木馬

。事後安全專家評價，這次攻擊事件是有史以來最大規模的行動之一。該銀行至今未發佈任何公告，受影響用戶範圍不詳……

然而這一事件卻被威脅情報平臺微步線上捕獲，他們通過技術手段還原了整個攻擊流程。發現駭客運用了一種堪稱“隔山打牛”的精妙攻擊手法。這種手法首次出現在銀行行業。

駭客“隔山打牛”搞定銀行

直接攻破銀行的業務系統，似乎不太可能，罪犯們決定來個迂回攻擊。

犯罪團夥這次攻擊起碼準備了幾個月，因為幾個月前，他們就在穀歌雲服務商搭建了一個仿冒銀行網站，然後利用免費的網站證書供應商 Let's encrypt 拿到 https 證書。

微步線上的資深威脅分析師察罕告訴雷鋒網。

搭建好網站，拿到 https 證書，釣魚網站就能在流覽器上展示“安全”標誌和綠色小鎖了。騙過用戶的肉眼只是第一步，然後就到了“隔山打牛”的關鍵步驟：

駭客

利用漏洞或釣魚郵件的方式搞到了 Banrisul 銀行在另一家網站 Registro.br 的帳號密碼。

Registro.br 是幹什麼的？ DNS 服務商。也就是“隔山打牛”裡的那座“山”。

這裡簡單科普一下 DNS 在網站中的作用。DNS 功能變數名稱解析服務，是互聯網中的“帶路人”，負責將用戶帶到正確的網站伺服器。當你在流覽器中輸入網站網址時，其實是由 DNS 伺服器將你指引到正確的伺服器IP的。

那麼問題來了，DNS 服務既然能把使用者往正確的伺服器上帶，也就能把用戶往坑裡帶，攻擊者們想到了這一點。他們盜走了巴西銀行在 DNS 服務商那裡的帳號，然後將銀行網站功能變數名稱指向他們精心構建的釣魚網站地址。

於是就出現了文章開頭的一幕，

用戶即使一字不差地輸入了銀行官網的網址，進入的依然是釣魚網站

。使用者輸入帳號密碼時，很難意識到自己正在將密碼拱手送人。這時網站再彈出一個“安全控制項安裝”提示，使用者便自然而然地裝上了所謂的“安全控制項”，其實是惡意木馬。

這種方式在業內被稱之為“DNS劫持攻擊”，是一種比較常見的攻擊方式，但在銀行業之前沒有相關案例。

被劫持了幾個小時之後，銀行工作人員終於發現了問題，趕緊向用戶發送緊急郵件，並郵件聯繫 DNS 供應商，

卻發現整個銀行內部的郵件系統失效了

！

根據微步線上的威脅報告，該銀行一共有36個網站都被修改了 DNS記錄，不僅是網銀系統，連內部的郵件系統也被修改了 DNS 指向，導致郵件系統失效，銀行無法通過郵件來通知受害者，以及聯繫 DNS 供應商。

DNS 劫持整整持續了5小時之久，最終銀行將網站恢復了正常。然而在這期間所有登錄過的使用者資訊早已洩露，並且電腦被植入了惡意木馬。

根據報告中的木馬樣本分析，這一惡意程式運行後會自動從遠端伺服器下載另一個惡意程式，用來關閉殺毒軟體，並且獲取系統資訊、監控桌面、執行命令等等，並且不斷訪問一台遠端伺服器的某一個埠。顯然，那一頭坐始作俑者，操縱者整次攻擊。

細節回顧：銀行的“失策”

其實，曾經出現了有好幾次發現攻擊者的機會，但銀行安全人員沒有好好珍惜（等到失去後，才後悔莫及）。從安全攻防的角度上來看，這次事件完全有辦法避免。

首先，有專家分析，DNS 提供商 Registro.br 於 1 月份修復了一個跨網站請求偽造漏洞（一種漏洞類型，用於非法登錄他人帳號），攻擊者很可能是通過那個漏洞攻擊的他們，

但巴西某銀行並沒有啟用 Registro.br 提供的雙因素身份認證機制，錯失了防禦住駭客的第一個機會

，駭客成功攻入了其 DNS 服務帳號。

微步線上在威脅通報上稱：

國內各大銀行網站也使用了的眾多功能變數名稱服務商的 DSN 服務，其中多家功能變數名稱服務商的網站也曾被爆出存在嚴重漏洞，可能洩露使用者敏感細資訊，需引起有關單位的高度重視。

網站存在漏洞幾乎無可避免，但據雷鋒網瞭解，國內的功能變數名稱服務商像中國萬網、新網、廣東互易網路等等，也都提供了帳戶雙因素認證機制。及時開啟這些安全認證，能夠大幅提高帳戶安全性。

其次，駭客早在幾個月就開始準備“軍火”，但銀行遲遲沒有發現

。微步線上的察罕還向雷鋒網透露了一個關鍵資訊：駭客在劫持銀行網站之前的幾個小時，曾經多次修改 DNS 記錄，但是幾分鐘內又改回來了，分析師推測那可能是駭客在為正式劫持做測試。

“很可惜，銀行沒有注意到這個異常變化，這也暴露了該銀行在DNS威脅分析上的不足” 察罕說，

通常在駭客進行一次完整的攻擊活動時，不會立刻行動，而是提前搜集資訊、尋找漏洞、搭建環境等等，業內稱之為“網路殺傷鏈“（Cyber Kill Chain）

。其中很多動作都會暴露攻擊者的意圖，如果能及時發現，就能及時回應威脅。

同樣，網站 DNS 出現變化很正常，但是如果忽然指向了一個陌生的 IP，或者說常理上不太可能出現的情況，比如騰訊家的網站忽然指向了阿裡雲上的IP，這顯然不太正常。

這些變化其實就是威脅來臨的特徵，說明有可能“有人要搞你”。

如果能及時獲知這些變化，就能及時發現並回應，不過很可惜的是巴西 Banrisul 銀行並沒有做到這一點，他們沒有發現攻擊幾小時前的異常變化。

察罕告訴雷鋒網，目前這種攻擊手法在銀行業還是首次出現，不排除後續國內銀行也遭遇類似手法攻擊的可能性。國內各大銀行目前使用的功能變數名稱服務商眾多，而功能變數名稱服務商又處於外部，並不屬於銀行管控，因此提醒企業們及時排查 DNS 系統的安全性，並做好威脅資訊監測，堤防“隔山打牛”再次上演。

雷鋒網注：本文線索來自

微步線上提供的威脅情報通報《

巴西Banrisul銀行網站遭遇DNS劫持攻擊》，在宅客頻道回復：

DNS劫持

，可下載該報告。