劫持银行网站5个小时,黑客如何做到的?

简介:
  

这天下午发生了一件怪事。她和往常一样登录网银,网址明明是银行官网,她却总感觉网站有些不对劲,安装了网站提示的“网银安全控件”,杀毒软件突然自动关闭了,她不知道这是为什么,明明就是银行的官网网址……

这是个真实的事件。

拥有500万用户,总资产超250亿美元的巴西 Banrisul 银行,在当地时间 2016年10月22日遭遇了长达5个小时的网站劫持,期间所有用户被“接管”到一个精心布置的钓鱼网站,所有成功登录的用户都被窃取了凭据,并且电脑被植入恶意木马。事后安全专家评价,这次攻击事件是有史以来最大规模的行动之一。该银行至今未发布任何公告,受影响用户范围不详……

然而这一事件却被威胁情报平台微步在线捕获,他们通过技术手段还原了整个攻击流程。发现黑客运用了一种堪称“隔山打牛”的精妙攻击手法。这种手法首次出现在银行行业。

劫持银行网站5个小时,黑客如何做到的?

黑客“隔山打牛”搞定银行

直接攻破银行的业务系统,似乎不太可能,罪犯们决定来个迂回攻击。

犯罪团伙这次攻击起码准备了几个月,因为几个月前,他们就在谷歌云服务商搭建了一个仿冒银行网站,然后利用免费的网站证书供应商 Let's encrypt 拿到 https 证书。

微步在线的资深威胁分析师察罕告诉雷锋网(公众号:雷锋网)

搭建好网站,拿到 https 证书,钓鱼网站就能在浏览器上展示“安全”标志和绿色小锁了。骗过用户的肉眼只是第一步,然后就到了“隔山打牛”的关键步骤:黑客利用漏洞或钓鱼邮件的方式搞到了 Banrisul 银行在另一家网站 Registro.br 的账号密码。

Registro.br 是干什么的? DNS 服务商。也就是“隔山打牛”里的那座“山”。

这里简单科普一下 DNS 在网站中的作用。DNS 域名解析服务,是互联网中的“带路人”,负责将用户带到正确的网站服务器。当你在浏览器中输入网站网址时,其实是由 DNS 服务器将你指引到正确的服务器IP的。

劫持银行网站5个小时,黑客如何做到的?

那么问题来了,DNS 服务既然能把用户往正确的服务器上带,也就能把用户往坑里带,攻击者们想到了这一点。他们盗走了巴西银行在 DNS 服务商那里的账号,然后将银行网站域名指向他们精心构建的钓鱼网站地址。

劫持银行网站5个小时,黑客如何做到的?

于是就出现了文章开头的一幕,用户即使一字不差地输入了银行官网的网址,进入的依然是钓鱼网站。用户输入账号密码时,很难意识到自己正在将密码拱手送人。这时网站再弹出一个“安全控件安装”提示,用户便自然而然地装上了所谓的“安全控件”, 其实是恶意木马。

这种方式在业内被称之为“DNS劫持攻击”,是一种比较常见的攻击方式,但在银行业之前没有相关案例。

被劫持了几个小时之后,银行工作人员终于发现了问题,赶紧向用户发送紧急邮件,并邮件联系 DNS 供应商,却发现整个银行内部的邮件系统失效了

根据微步在线的威胁报告,该银行一共有36个网站都被修改了 DNS记录,不仅是网银系统,连内部的邮件系统也被修改了 DNS 指向,导致邮件系统失效,银行无法通过邮件来通知受害者,以及联系 DNS 供应商。

DNS 劫持整整持续了5小时之久,最终银行将网站恢复了正常。然而在这期间所有登录过的用户信息早已泄露,并且电脑被植入了恶意木马。

根据报告中的木马样本分析,这一恶意程序运行后会自动从远程服务器下载另一个恶意程序,用来关闭杀毒软件,并且获取系统信息、监控桌面、执行命令等等,并且不断访问一台远程服务器的某一个端口。显然,那一头坐始作俑者,操纵者整次攻击。

细节回顾:银行的“失策”

其实,曾经出现了有好几次发现攻击者的机会,但银行安全人员没有好好珍惜(等到失去后,才后悔莫及)。从安全攻防的角度上来看,这次事件完全有办法避免。

劫持银行网站5个小时,黑客如何做到的?

首先,有专家分析,DNS 提供商 Registro.br 于 1 月份修复了一个跨站点请求伪造漏洞(一种漏洞类型,用于非法登录他人账号),攻击者很可能是通过那个漏洞攻击的他们,但巴西某银行并没有启用 Registro.br 提供的双因素身份认证机制,错失了防御住黑客的第一个机会,黑客成功攻入了 其 DNS 服务账号。 

微步在线在威胁通报上称:

国内各大银行网站也使用了的众多域名服务商的 DSN 服务,其中多家域名服务商的网站也曾被爆出存在严重漏洞,可能泄露用户敏感细信息,需引起有关单位的高度重视。

网站存在漏洞几乎无可避免,但据雷锋网了解,国内的域名服务商像中国万网、新网、广东互易网络等等,也都提供了账户双因素认证机制。及时开启这些安全认证,能够大幅提高账户安全性。

其次,黑客早在几个月就开始准备“军火”,但银行迟迟没有发现。微步在线的察罕还向雷锋网透露了一个关键信息:黑客在劫持银行网站之前的几个小时,曾经多次修改 DNS 记录,但是几分钟内又改回来了,分析师推测那可能是黑客在为正式劫持做测试。

“很可惜,银行没有注意到这个异常变化,这也暴露了该银行在DNS威胁分析上的不足” 察罕说,通常在黑客进行一次完整的攻击活动时,不会立刻行动,而是提前搜集信息、寻找漏洞、搭建环境等等,业内称之为“网络杀伤链“(Cyber Kill Chain)。其中很多动作都会暴露攻击者的意图,如果能及时发现,就能及时响应威胁。

同样,网站 DNS 出现变化很正常,但是如果忽然指向了一个陌生的 IP,或者说常理上不太可能出现的情况,比如腾讯家的网站忽然指向了阿里云上的IP,这显然不太正常。

这些变化其实就是威胁来临的特征,说明有可能“有人要搞你”。如果能及时获知这些变化,就能及时发现并响应,不过很可惜的是巴西 Banrisul 银行并没有做到这一点,他们没有发现攻击几小时前的异常变化。

察罕告诉雷锋网,目前这种攻击手法在银行业还是首次出现,不排除后续国内银行也遭遇类似手法攻击的可能性。国内各大银行目前使用的域名服务商众多,而域名服务商又处于外部,并不属于银行管控,因此提醒企业们及时排查 DNS 系统的安全性,并做好威胁信息监测, 堤防“隔山打牛”再次上演。

雷锋网注:本文线索来自微步在线提供的威胁情报通报《巴西Banrisul银行网站遭遇DNS劫持攻击》,在宅客频道回复:DNS劫持 ,可下载该报告。


  本文作者: 谢幺

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
安全 前端开发 JavaScript
相亲app源码,服务器遭受攻击后需要做好的几件事
相亲app源码,服务器遭受攻击后需要做好的几件事
|
域名解析 编解码 网络协议
邮箱被盗频繁,个人如何做好防护?
邮箱被盗频繁,个人如何做好防护?
邮箱被盗频繁,个人如何做好防护?
|
SQL 安全 关系型数据库
公司网站被劫持到其它网站如何解决
公司网站被劫持到其它网站如何解决
305 0
公司网站被劫持到其它网站如何解决
|
SQL 安全 前端开发
网站会员信息被黑客入侵攻击修改了数据怎么解决
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。
212 0
网站会员信息被黑客入侵攻击修改了数据怎么解决
|
区块链 数据安全/隐私保护
英航官网流量劫持导致数据泄露,收到16亿GDPR罚单
为规避GDPR违规风险,我国企业无论是否在欧盟开展业务,都应加强数据安全防护,而数据加密是安全防护的重中之重。
2302 0
|
安全
网站长期被挂马 访问者屡遭木马侵害
据瑞星“云安全”系统监测,6月3日,“星空剧场”、“中国制造网”、“北京市路政局房山公路分局”等视频、商务和政府网站被黑客挂马,用户浏览这些网站后,会感染木马病毒:Worm.Win32.VB.vl(VB代理蠕虫),导致文件受损并下载大量木马。
894 0
|
云安全 安全 网络安全
扬言春节发起攻击的匿名者真的开攻了,防不胜防的安全威胁如何应对?
2019年1月24日,黑客组织匿名者在社交媒体上对外发表声明,将于2019年2月13日针对我国政府网站采取攻击。 在监测到相关信息后,阿里云安全团队立即启动了重大安全事件应急响应流程,为目前在阿里云上和不在阿里云上的多个目标单位提供了包含DDoS高防IP、Web应用防火墙产品和7*24小时安全专家服务的保障方案,进行应急响应支持,且多家单位在2月13日前完成了针对本次事件的安全应急方案部署。
1333 0
|
Web App开发 安全 区块链
一次对恶意邮件分析并拿下其赎金服务器的溯源
本文讲的是一次对恶意邮件分析并拿下其赎金服务器的溯源,在这个案例里面,我们通过分析垃圾邮件,进而劫持其赎金服务器,并且告知每个人关于发现的这一威胁。然后我会尝试寻找攻击者身份,并且将有关信息告诉执法部门。不过这一部分就不在文章中公开了。
1810 0