這天下午發生了一件怪事。
她和往常一樣登錄網銀,網址明明是銀行官網,她卻總感覺網站有些不對勁,安裝了網站提示的“網銀安全控制項”,殺毒軟體突然自動關閉了,她不知道這是為什麼,明明就是銀行的官網網址……
這是個真實的事件。
擁有500萬用戶,總資產超250億美元的巴西 Banrisul 銀行,在當地時間 2016年10月22日
遭遇了長達5個小時的網站劫持,期間所有用戶被“接管”到一個精心佈置的釣魚網站,所有成功登錄的用戶都被竊取了憑據,並且電腦被植入惡意木馬
。事後安全專家評價,這次攻擊事件是有史以來最大規模的行動之一。該銀行至今未發佈任何公告,受影響用戶範圍不詳……
然而這一事件卻被威脅情報平臺微步線上捕獲,他們通過技術手段還原了整個攻擊流程。發現駭客運用了一種堪稱“隔山打牛”的精妙攻擊手法。這種手法首次出現在銀行行業。
駭客“隔山打牛”搞定銀行
直接攻破銀行的業務系統,似乎不太可能,罪犯們決定來個迂回攻擊。
犯罪團夥這次攻擊起碼準備了幾個月,因為幾個月前,他們就在穀歌雲服務商搭建了一個仿冒銀行網站,然後利用免費的網站證書供應商 Let's encrypt 拿到 https 證書。
微步線上的資深威脅分析師察罕告訴雷鋒網。
搭建好網站,拿到 https 證書,釣魚網站就能在流覽器上展示“安全”標誌和綠色小鎖了。騙過用戶的肉眼只是第一步,然後就到了“隔山打牛”的關鍵步驟:
駭客
利用漏洞或釣魚郵件的方式搞到了 Banrisul 銀行在另一家網站 Registro.br 的帳號密碼。
Registro.br 是幹什麼的? DNS 服務商。也就是“隔山打牛”裡的那座“山”。
這裡簡單科普一下 DNS 在網站中的作用。DNS 功能變數名稱解析服務,是互聯網中的“帶路人”,負責將用戶帶到正確的網站伺服器。當你在流覽器中輸入網站網址時,其實是由 DNS 伺服器將你指引到正確的伺服器IP的。
那麼問題來了,DNS 服務既然能把使用者往正確的伺服器上帶,也就能把用戶往坑裡帶,攻擊者們想到了這一點。他們盜走了巴西銀行在 DNS 服務商那裡的帳號,然後將銀行網站功能變數名稱指向他們精心構建的釣魚網站地址。
於是就出現了文章開頭的一幕,
用戶即使一字不差地輸入了銀行官網的網址,進入的依然是釣魚網站
。使用者輸入帳號密碼時,很難意識到自己正在將密碼拱手送人。這時網站再彈出一個“安全控制項安裝”提示,使用者便自然而然地裝上了所謂的“安全控制項”, 其實是惡意木馬。
這種方式在業內被稱之為“DNS劫持攻擊”,是一種比較常見的攻擊方式,但在銀行業之前沒有相關案例。
被劫持了幾個小時之後,銀行工作人員終於發現了問題,趕緊向用戶發送緊急郵件,並郵件聯繫 DNS 供應商,
卻發現整個銀行內部的郵件系統失效了
!
根據微步線上的威脅報告,該銀行一共有36個網站都被修改了 DNS記錄,不僅是網銀系統,連內部的郵件系統也被修改了 DNS 指向,導致郵件系統失效,銀行無法通過郵件來通知受害者,以及聯繫 DNS 供應商。
DNS 劫持整整持續了5小時之久,最終銀行將網站恢復了正常。然而在這期間所有登錄過的使用者資訊早已洩露,並且電腦被植入了惡意木馬。
根據報告中的木馬樣本分析,這一惡意程式運行後會自動從遠端伺服器下載另一個惡意程式,用來關閉殺毒軟體,並且獲取系統資訊、監控桌面、執行命令等等,並且不斷訪問一台遠端伺服器的某一個埠。顯然,那一頭坐始作俑者,操縱者整次攻擊。
細節回顧:銀行的“失策”
其實,曾經出現了有好幾次發現攻擊者的機會,但銀行安全人員沒有好好珍惜(等到失去後,才後悔莫及)。從安全攻防的角度上來看,這次事件完全有辦法避免。
首先,有專家分析,DNS 提供商 Registro.br 於 1 月份修復了一個跨網站請求偽造漏洞(一種漏洞類型,用於非法登錄他人帳號),攻擊者很可能是通過那個漏洞攻擊的他們,
但巴西某銀行並沒有啟用 Registro.br 提供的雙因素身份認證機制,錯失了防禦住駭客的第一個機會
,駭客成功攻入了 其 DNS 服務帳號。
微步線上在威脅通報上稱:
國內各大銀行網站也使用了的眾多功能變數名稱服務商的 DSN 服務,其中多家功能變數名稱服務商的網站也曾被爆出存在嚴重漏洞,可能洩露使用者敏感細資訊,需引起有關單位的高度重視。
網站存在漏洞幾乎無可避免,但據雷鋒網瞭解,國內的功能變數名稱服務商像中國萬網、新網、廣東互易網路等等,也都提供了帳戶雙因素認證機制。及時開啟這些安全認證,能夠大幅提高帳戶安全性。
其次,駭客早在幾個月就開始準備“軍火”,但銀行遲遲沒有發現
。微步線上的察罕還向雷鋒網透露了一個關鍵資訊:駭客在劫持銀行網站之前的幾個小時,曾經多次修改 DNS 記錄,但是幾分鐘內又改回來了,分析師推測那可能是駭客在為正式劫持做測試。
“很可惜,銀行沒有注意到這個異常變化,這也暴露了該銀行在DNS威脅分析上的不足” 察罕說,
通常在駭客進行一次完整的攻擊活動時,不會立刻行動,而是提前搜集資訊、尋找漏洞、搭建環境等等,業內稱之為“網路殺傷鏈“(Cyber Kill Chain)
。其中很多動作都會暴露攻擊者的意圖,如果能及時發現,就能及時回應威脅。
同樣,網站 DNS 出現變化很正常,但是如果忽然指向了一個陌生的 IP,或者說常理上不太可能出現的情況,比如騰訊家的網站忽然指向了阿裡雲上的IP,這顯然不太正常。
這些變化其實就是威脅來臨的特徵,說明有可能“有人要搞你”。
如果能及時獲知這些變化,就能及時發現並回應,不過很可惜的是巴西 Banrisul 銀行並沒有做到這一點,他們沒有發現攻擊幾小時前的異常變化。
察罕告訴雷鋒網,目前這種攻擊手法在銀行業還是首次出現,不排除後續國內銀行也遭遇類似手法攻擊的可能性。國內各大銀行目前使用的功能變數名稱服務商眾多,而功能變數名稱服務商又處於外部,並不屬於銀行管控,因此提醒企業們及時排查 DNS 系統的安全性,並做好威脅資訊監測, 堤防“隔山打牛”再次上演。
雷鋒網注:本文線索來自
微步線上提供的威脅情報通報《
巴西Banrisul銀行網站遭遇DNS劫持攻擊》,在宅客頻道回復:
DNS劫持
,可下載該報告。