安全加报道了攻击者经过了 5个月的APT准备 拿下巴西一家银行整整5小时 攻击者获得了百万银行客户交易数据 ,今天绿盟科技发布的《巴西一银行被全面网络劫持事件整理报告》,回顾整个攻击过程,报告全文如下:
4月4日,卡巴斯基实验室(Kaspersky Lab)研究人员描述了一起令人震惊的事件:2016年10月22日下午1点左右, 巴西一银行被全面网络劫持,攻击者更改了该银行所有的36个DNS域名,在此时间段内使用该银行线上服务的用户将全部被重定向到准备好的假网站,这些网站以假乱真,甚至还拥有合法的HTTPS证书,用户在毫无察觉的情况下把他们的账户信息全盘交出。在用户被重新定向到提前设计好的假银行网站后,还会被要求下载一个安全插件,此插件里包含数个恶意软件,在用户下载到本地电脑中后将进行后续的攻击,包括窃取用户的通讯录联系人名单,关闭杀毒软件等。
此次劫持攻击据说持续了长达5小时左右,在此期间,因为所有DNS均被劫持,该银行甚至无法向其用户发送邮件警告。该银行拥有至少250亿美元资产,全球拥有超过5百万用户,在巴西,阿根廷,美国等国家地区均有其分支机构,此次攻击造成的影响无法计算。
相关链接:
https://www.wired.com/2017/04/hackers-hijacked-banks-entire-online-operation/
发现
此事件被卡巴斯基的研究人员Dmitry Bestuzhev率先发现并且进行了实时跟进分析。在银行被劫持期间,Bestuzhev发现用户在访问了该银行线上网站后均会带回一个恶意软件,而且恶意软件似乎也确实来源于该网站的真实域名。这引起了卡巴斯基研究人员的注意,并且持续跟进了整个攻击过程。
DNS危机
DNS(Domain Name System)是保持网络正常运转的核心协议之一:它将域名地址名称(如Google.com)翻译成一个确切的IP地址(如74.125.236.195)。如果这些记录被攻击,攻击者可以使网站瘫痪,更严重的可以将用户指向任何攻击者指定的网站。DNS的安全性对于整个互联网来说是已知威胁,并不新鲜。此前也有DNS被攻击的事件发生,例如在2013年,叙利亚的黑客组织更改了纽约时报(The New York Times)DNS记录,将访问者重新定向到一个带有该组织标志的网站页面。然而此次针对巴西银行的攻击主要是受利益驱使,是有计划的攻击活动。卡巴斯基的研究人员认为此次攻击是由于攻击者攻破了该银行在Registro.br的账户,从而得以更改该银行的DNS记录。Registro.br是NIC.br的域名注册服务,用来注册巴西的顶级.br域名,也是管理该银行DNS的机构。研究人员指出,攻击者若是掌控了该账户,就可以同时更改所有银行的DNS域名记录,将访问者全部重新定向到一个提前在谷歌云平台(Google’s Cloud Platform)架设好的服务器,实施攻击。
尽管卡巴斯基的研究人员无法给出此次攻击的损失程度,但该事件应该足以敲响各个银行的警钟。据调查表明,目前全球资产排名前20的各大银行中,有一半的银行不参与管理他们自己的DNS,而是交给有被劫持风险的第三方机构管理。除此之外,不论谁管理DNS,都可以采取一些简单但有效的方法来防护DNS记录被更改,比如在注册记录时应用双重因素验证,此类方法可以大大增加DNS被攻破的难度。
攻击过程
卡巴斯基的研究人员表示,拥有此规模的网络劫持攻击不是新手所为,而是有计划的一起攻击活动,该活动至少在实施劫持行动前的5个月就已经开始准备。Bestuzhev表示目前还不清楚攻击者是如何攻破DNS记录的,但是值得注意的一点是,Registro.br在今年1月份发布补丁修复了其网站的一个CSRF漏洞。Bestuzhev说:
“也许攻击者是发现并且利用了此漏洞来获取了网站的控制权,又或者是由于注册网站的员工账号受到了攻击,因为我们在该DNS注册网站的员工邮件中发现了多封钓鱼邮件。”
在攻击者掌控了银行的DNS后,任何访问该银行网站应用的用户都被重新定向到了一个对应的假网站中。这些假网站甚至拥有合法的银行HTTPS证书,因此用户在假网站的URL地址栏会看到一个绿锁图案以及该银行的名称,这和访问真实网站时的情况完全一致。因此用户在毫无怀疑的情况下进行他们的银行操作,将账户信息全盘交给了攻击者。卡巴斯基的研究人员发现攻击者用的HTTPS证书于6个月前由Let’s Encrypt机构签发,该机构是一个非盈利证书签发机构,该机构意在简化签发HTTPS证书来鼓励更多用户使用HTTPS协议。该机构的创始人Josh Aas也表示:
“如果一个实体控制了DNS,因此对于域名有了有效控制,那么我们很可能就会签发证书给它。而且这也不是因为我们错发了证书,因为该实体确实证明了他们对于其域名的控制权限。”
最终,攻击者完全控制了该银行,甚至银行的工作人员连一封警告其用户的邮件都无法发出。正如Bestuzhev所说:
“如果你的DNS被攻击者控制了,那么你基本完了。”
全面劫持银行的DNS还不是攻击的结束,而是另一系列攻击的开始。在用户访问了冒牌网站之后,会被要求下载更新一个该银行提供的Trusteer浏览器安全插件。根据卡巴斯基研究人员的分析,该插件是一恶意软件包装而成,功能包括窃取该巴西银行在内的共9家银行的登录信息,还有电子邮件以及FTP信息,以及用户Outlook & Exchange里的联系人列表。这些信息随后均被发送到一个位于加拿大的C&C服务器上。该恶意软件还会尝试关闭杀毒软件,在被感染用户的电脑中潜伏的时间将远远超出银行被劫持的5小时。这些恶意软件军用JAR写成,可以在Windows和Mac系统中运行,另外在对该恶意软件的分析中发现了葡萄牙语的痕迹,表明该次攻击很可能来自于巴西本土。
在被全面劫持的5小时后,卡巴斯基的研究人员表示该银行夺回了对于其域名的控制权,很有可能是通过联系NIC.br并说服他们改回了DNS的记录。然而在这5小时中,有多少用户受到此次劫持攻击的影响仍是个迷。卡巴斯基表示该银行没有向安全公司公布任何信息也没有对公众公开此次攻击。但安全公司表示此次攻击可能窃取到了多达数百万用户的账户信息,不只是通过恶意软件的植入,还包括从网站、ATM、PoS机的重新定向得到的交易信息。Bestuzhev表示:
“此次攻击规模之大,甚至无法确定哪一项攻击造成了最大的损失,恶意软件,钓鱼攻击,还是ATM。”
后续结论
究竟NIC.br最初是如何失去了对于该巴西银行域名的控制,卡巴斯基指出在今年1月份的一份报告中,NIC.br承认其网站存在一个漏洞,该漏洞可能导致其用户的DNS记录被更改。但是NIC.br在该公告中表示没有发现任何该漏洞被使用的迹象,数次DNS记录被更改的行为也只是被认为是遭到了社会工程学攻击。
在一次通话中,NIC.br的技术总监Frederico Neves否认了卡巴斯基指出的该巴西银行全部36处域名均被劫持,并且否认NIC.br网站被入侵。然而他承认了用户信息可能由于遭到了邮件钓鱼攻击而被更改。卡巴斯基的研究人员表示此次攻击应该作为对于银行业的一个警告:
“DNS攻击就在我们身边,如果没有进行有效的防范,此次巴西银行的例子告诉我们,通过修改DNS记录,攻击者是如何快速的就完全掌控了该银行,而在此情况下,用户以及银行本身是多么的无助。”
总结
此次网络DNS劫持事件的规模之大,攻击性之强,前所未有,更加提醒了我们DNS的安全性对于任何机构来说都至关重要。采取一些简单的防护措施就可以有效的增加DNS的安全性,大大降低被攻击者劫持的风险。
附录
卡巴斯基给出的用于此次攻击的恶意软件名称:
- Trojan-Downloader.Java.Agent;
- Trojan.BAT.Starter;
- not-a-virus:RiskTool.Win32.Deleter;
- Trojan-Spy.Win32.Agent.
其他参考链接:
https://registro.br/noticias.html
https://www.wired.com/2016/04/scheme-encrypt-entire-web-actually-working/
https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/report-hackers-attacked-brazilian-banks
如果此文章侵权,请留言,我们进行删除。
0day
文章评论