这天下午发生了一件怪事。她和往常一样登录网银,网址明明是银行官网,她却总感觉网站有些不对劲,安装了网站提示的“网银安全控件”,杀毒软件突然自动关闭了,她不知道这是为什么,明明就是银行的官网网址……
这是个真实的事件。
拥有500万用户,总资产超250亿美元的巴西 Banrisul 银行,在当地时间 2016年10月22日遭遇了长达5个小时的网站劫持,期间所有用户被“接管”到一个精心布置的钓鱼网站,所有成功登录的用户都被窃取了凭据,并且电脑被植入恶意木马。事后安全专家评价,这次攻击事件是有史以来最大规模的行动之一。该银行至今未发布任何公告,受影响用户范围不详……
然而这一事件却被威胁情报平台微步在线捕获,他们通过技术手段还原了整个攻击流程。发现黑客运用了一种堪称“隔山打牛”的精妙攻击手法。这种手法首次出现在银行行业。
直接攻破银行的业务系统,似乎不太可能,罪犯们决定来个迂回攻击。
犯罪团伙这次攻击起码准备了几个月,因为几个月前,他们就在谷歌云服务商搭建了一个仿冒银行网站,然后利用免费的网站证书供应商 Let's encrypt 拿到 https 证书。
微步在线的资深威胁分析师察罕告诉雷锋网。
搭建好网站,拿到 https 证书,钓鱼网站就能在浏览器上展示“安全”标志和绿色小锁了。骗过用户的肉眼只是第一步,然后就到了“隔山打牛”的关键步骤:黑客利用漏洞或钓鱼邮件的方式搞到了 Banrisul 银行在另一家网站 Registro.br 的账号密码。
Registro.br 是干什么的? DNS 服务商。也就是“隔山打牛”里的那座“山”。
这里简单科普一下 DNS 在网站中的作用。DNS 域名解析服务,是互联网中的“带路人”,负责将用户带到正确的网站服务器。当你在浏览器中输入网站网址时,其实是由 DNS 服务器将你指引到正确的服务器IP的。
那么问题来了,DNS 服务既然能把用户往正确的服务器上带,也就能把用户往坑里带,攻击者们想到了这一点。他们盗走了巴西银行在 DNS 服务商那里的账号,然后将银行网站域名指向他们精心构建的钓鱼网站地址。
于是就出现了文章开头的一幕,用户即使一字不差地输入了银行官网的网址,进入的依然是钓鱼网站。用户输入账号密码时,很难意识到自己正在将密码拱手送人。这时网站再弹出一个“安全控件安装”提示,用户便自然而然地装上了所谓的“安全控件”, 其实是恶意木马。
这种方式在业内被称之为“DNS劫持攻击”,是一种比较常见的攻击方式,但在银行业之前没有相关案例。
被劫持了几个小时之后,银行工作人员终于发现了问题,赶紧向用户发送紧急邮件,并邮件联系 DNS 供应商,却发现整个银行内部的邮件系统失效了!
根据微步在线的威胁报告,该银行一共有36个网站都被修改了 DNS记录,不仅是网银系统,连内部的邮件系统也被修改了 DNS 指向,导致邮件系统失效,银行无法通过邮件来通知受害者,以及联系 DNS 供应商。
DNS 劫持整整持续了5小时之久,最终银行将网站恢复了正常。然而在这期间所有登录过的用户信息早已泄露,并且电脑被植入了恶意木马。
根据报告中的木马样本分析,这一恶意程序运行后会自动从远程服务器下载另一个恶意程序,用来关闭杀毒软件,并且获取系统信息、监控桌面、执行命令等等,并且不断访问一台远程服务器的某一个端口。显然,那一头坐始作俑者,操纵者整次攻击。
其实,曾经出现了有好几次发现攻击者的机会,但银行安全人员没有好好珍惜(等到失去后,才后悔莫及)。从安全攻防的角度上来看,这次事件完全有办法避免。
首先,有专家分析,DNS 提供商 Registro.br 于 1 月份修复了一个跨站点请求伪造漏洞(一种漏洞类型,用于非法登录他人账号),攻击者很可能是通过那个漏洞攻击的他们,但巴西某银行并没有启用 Registro.br 提供的双因素身份认证机制,错失了防御住黑客的第一个机会,黑客成功攻入了 其 DNS 服务账号。
微步在线在威胁通报上称:
国内各大银行网站也使用了的众多域名服务商的 DSN 服务,其中多家域名服务商的网站也曾被爆出存在严重漏洞,可能泄露用户敏感细信息,需引起有关单位的高度重视。
网站存在漏洞几乎无可避免,但据雷锋网了解,国内的域名服务商像中国万网、新网、广东互易网络等等,也都提供了账户双因素认证机制。及时开启这些安全认证,能够大幅提高账户安全性。
其次,黑客早在几个月就开始准备“军火”,但银行迟迟没有发现。微步在线的察罕还向雷锋网透露了一个关键信息:黑客在劫持银行网站之前的几个小时,曾经多次修改 DNS 记录,但是几分钟内又改回来了,分析师推测那可能是黑客在为正式劫持做测试。
“很可惜,银行没有注意到这个异常变化,这也暴露了该银行在DNS威胁分析上的不足” 察罕说,通常在黑客进行一次完整的攻击活动时,不会立刻行动,而是提前搜集信息、寻找漏洞、搭建环境等等,业内称之为“网络杀伤链“(Cyber Kill Chain)。其中很多动作都会暴露攻击者的意图,如果能及时发现,就能及时响应威胁。
同样,网站 DNS 出现变化很正常,但是如果忽然指向了一个陌生的 IP,或者说常理上不太可能出现的情况,比如腾讯家的网站忽然指向了阿里云上的IP,这显然不太正常。
这些变化其实就是威胁来临的特征,说明有可能“有人要搞你”。如果能及时获知这些变化,就能及时发现并响应,不过很可惜的是巴西 Banrisul 银行并没有做到这一点,他们没有发现攻击几小时前的异常变化。
察罕告诉雷锋网,目前这种攻击手法在银行业还是首次出现,不排除后续国内银行也遭遇类似手法攻击的可能性。国内各大银行目前使用的域名服务商众多,而域名服务商又处于外部,并不属于银行管控,因此提醒企业们及时排查 DNS 系统的安全性,并做好威胁信息监测, 堤防“隔山打牛”再次上演。
雷锋网注:本文线索来自微步在线提供的威胁情报通报《巴西Banrisul银行网站遭遇DNS劫持攻击》,在宅客频道回复:DNS劫持 ,可下载该报告。