揭密巴西Banrisul银行网站遭遇5小时劫持的原因

2016年10月22日13时，某网络黑客团伙成功接管巴西一家银行所有业务长达5小时，截获了当时所有的金融交易数据。微步在线根据卡巴斯基公开的相关信息检索发现，此次攻击的受害者为巴西Banrisul银行，该行成立于1928年，在巴西、美国、阿根廷和大开曼岛等地拥有分行500家，客户约500万，总资产超过250亿美元。

微步在线分析此次事件的攻击流程如下：

· 攻击者于2016年年中开始对Banrisul银行网站进行全面调查分析，掌握网站体系架构，下载网站源码。

· 利用漏洞或钓鱼邮件方式入侵Banrisul银行的DNS提供商Registro.br，控制了Banrisul的DNS账户。

· 2016年10月22日5时30分，在Let’s Encrypt网站注册免费SSL证书，启用Google Cloud上的仿冒网站。

· 2016年10月22日13时，修改银行网站DNS解析记录，将访问银行在线服务的用户定向到仿冒网站，诱导输入信用卡信息。

· 控制并关闭银行的企业邮箱，以防止银行通知受害者和DNS供应商。

· 诱导用户下载伪装成Trusteer的恶意软件压缩包（Truste_Install_EF69EC50F11D77D9.zip）并执行其中的Java文件（Truste_Install_EF69EC50F11D77D9.jar）。

· Java文件的执行后会从远端服务器（191.101.232.182）下载一个包含后门程序的压缩包（windows.zip），执行其中的Avenger程序用于清理系统现有杀毒软件，并将后门程序（windows.dll）注册为计划任务。

· windows.dll后门程序具备获取系统信息、监控桌面窗口、获取进程列表、远程执行、文件上传下载、命令等功能，会不断尝试访问谷歌协作平台（sites.google.com）的随机地址和C&C服务器（192.99.111.91）的15111端口。

微步在线对国内20余家主流银行分析发现，大多数单位使用了内部邮箱用于域名管理，且域名服务器也为内部所有，自身安全措施较为完善。而涉及的域名服务商则包括中国万网、新网、中科三方、广东互易网络、厦门三五互联等10多家，其中多数公司近年来均被爆出过SQL注入、XSS等高危漏洞，可能泄露用户敏感细信息，合作伙伴的安全问题同样需要引起有关单位的高度重视。

………………………………………检测措施………………………………………

以下两种方式，任意一种即可：

· 网络流量：

建议直接部署微步在线威胁情报平台进行检测，或者使用附录的IOC结合日志检测：

如，通过防火墙检查与IP 191.101.232.182的连接

· 主机检测：

查看以下目录或者目录是否存在：

%appdata%\Microsoft\Windows.bat

%appdata%\Microsoft\Windows.exe

%appdata%\Microsoft\Windows.txt

%appdata%\Microsoft\{computername}.zip

………………………………………行动建议………………………………………

· 利用微步在线提供的威胁情报或者威胁情报平台进行检测，及时响应。

· 启用DNS等基础服务供应商提供的安全服务，如双因子认证，以加强内部基础设施的安全策略建设。 

附录

C&C

http://191.101.232.182/BR/Windows.zip

http://191.101.232.182/TM/Windows.zip

192.99.111.91

木马hash

2f9fe6db7279da14576cc5cc9e92bffe

1444ff1fdb9a5cf273d915612523d77d

4aed960aebd6f38fdb1c7ee79dc79fbc

98d689250a373b5667c3458ee8df06a8

2bf96bceece3e565f6cd6b03cd3c9a33

723e8da040c24cd60901ebf4d4cc13a5

7e32de2a14db2b04bed8625dcf560fdd

f032731de7d3f584cda4e48451e0b134

3f272fb8e3cd3b2cb288580b63306361

7650b4834dc8d2ed8f546f7178af3140

248954276030a90f5856c03141bec23bce7ad1601414408134217adf98f02051

b86f15850ad307f4eb303acc11930f91e6befbcd2da73b5f17034a3c9f88fee9

7e9ada8f5f5aaaae7ecddd66f1352f9ede223c3ab5b8f2cfaa0657bc8fa94e1d

5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f

030a7ddf668c9049b6609af0a3f0523f57f7ab07fd6cbbcbed0b37ae8067f5c5

9b9cb6a6ddbdd67106e8a2f055563059b7dd14ff31ea336e20f00b1969da2976

fc0b440ef53b6814a0db53c4ca46e69b5d5651da57175342c33e2ec760c6de79

e4bc73ad9c7c33a714ecfe47c7a89fb4ead04a1987d90bf3dcb8531385502e36

a2b8e28882812ed7f6b1a674d373f038ffaffcb0ffc26eeff01cf1dc63cd1f8a

325f0adf4e45318ce312d2cb077b6de2dd170be6b3d4efe8c82e9a96faf13e96