揭密巴西Banrisul银行网站遭遇5小时劫持的原因

来源:业界供稿    2017-04-25 14:54:48

关键字: DNS劫持 银行

2016年10月22日13时,某网络黑客团伙成功接管巴西一家银行所有业务长达5小时,截获了当时所有的金融交易数据。

2016年10月22日13时,某网络黑客团伙成功接管巴西一家银行所有业务长达5小时,截获了当时所有的金融交易数据。微步在线根据卡巴斯基公开的相关信息检索发现,此次攻击的受害者为巴西Banrisul银行,该行成立于1928年,在巴西、美国、阿根廷和大开曼岛等地拥有分行500家,客户约500万,总资产超过250亿美元。

微步在线分析此次事件的攻击流程如下:

· 攻击者于2016年年中开始对Banrisul银行网站进行全面调查分析,掌握网站体系架构,下载网站源码。

· 利用漏洞或钓鱼邮件方式入侵Banrisul银行的DNS提供商Registro.br,控制了Banrisul的DNS账户。

· 2016年10月22日5时30分,在Let’s Encrypt网站注册免费SSL证书,启用Google Cloud上的仿冒网站。

· 2016年10月22日13时,修改银行网站DNS解析记录,将访问银行在线服务的用户定向到仿冒网站,诱导输入信用卡信息。

· 控制并关闭银行的企业邮箱,以防止银行通知受害者和DNS供应商。

· 诱导用户下载伪装成Trusteer的恶意软件压缩包(Truste_Install_EF69EC50F11D77D9.zip)并执行其中的Java文件(Truste_Install_EF69EC50F11D77D9.jar)。

· Java文件的执行后会从远端服务器(191.101.232.182)下载一个包含后门程序的压缩包(windows.zip),执行其中的Avenger程序用于清理系统现有杀毒软件,并将后门程序(windows.dll)注册为计划任务。

· windows.dll后门程序具备获取系统信息、监控桌面窗口、获取进程列表、远程执行、文件上传下载、命令等功能,会不断尝试访问谷歌协作平台(sites.google.com)的随机地址和C&C服务器(192.99.111.91)的15111端口。

微步在线对国内20余家主流银行分析发现,大多数单位使用了内部邮箱用于域名管理,且域名服务器也为内部所有,自身安全措施较为完善。而涉及的域名服务商则包括中国万网、新网、中科三方、广东互易网络、厦门三五互联等10多家,其中多数公司近年来均被爆出过SQL注入、XSS等高危漏洞,可能泄露用户敏感细信息,合作伙伴的安全问题同样需要引起有关单位的高度重视。

………………………………………检测措施………………………………………

以下两种方式,任意一种即可:

· 网络流量:

建议直接部署微步在线威胁情报平台进行检测,或者使用附录的IOC结合日志检测:

如,通过防火墙检查与IP 191.101.232.182的连接

· 主机检测:

查看以下目录或者目录是否存在:

%appdata%\Microsoft\Windows.bat

%appdata%\Microsoft\Windows.exe

%appdata%\Microsoft\Windows.txt

%appdata%\Microsoft\{computername}.zip

………………………………………行动建议………………………………………

· 利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时响应。

· 启用DNS等基础服务供应商提供的安全服务,如双因子认证,以加强内部基础设施的安全策略建设。 

附录

C&C

http://191.101.232.182/BR/Windows.zip

http://191.101.232.182/TM/Windows.zip

192.99.111.91

木马hash

2f9fe6db7279da14576cc5cc9e92bffe

1444ff1fdb9a5cf273d915612523d77d

4aed960aebd6f38fdb1c7ee79dc79fbc

98d689250a373b5667c3458ee8df06a8

2bf96bceece3e565f6cd6b03cd3c9a33

723e8da040c24cd60901ebf4d4cc13a5

7e32de2a14db2b04bed8625dcf560fdd

f032731de7d3f584cda4e48451e0b134

3f272fb8e3cd3b2cb288580b63306361

7650b4834dc8d2ed8f546f7178af3140

248954276030a90f5856c03141bec23bce7ad1601414408134217adf98f02051

b86f15850ad307f4eb303acc11930f91e6befbcd2da73b5f17034a3c9f88fee9

7e9ada8f5f5aaaae7ecddd66f1352f9ede223c3ab5b8f2cfaa0657bc8fa94e1d

5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f

030a7ddf668c9049b6609af0a3f0523f57f7ab07fd6cbbcbed0b37ae8067f5c5

9b9cb6a6ddbdd67106e8a2f055563059b7dd14ff31ea336e20f00b1969da2976

fc0b440ef53b6814a0db53c4ca46e69b5d5651da57175342c33e2ec760c6de79

e4bc73ad9c7c33a714ecfe47c7a89fb4ead04a1987d90bf3dcb8531385502e36

a2b8e28882812ed7f6b1a674d373f038ffaffcb0ffc26eeff01cf1dc63cd1f8a

325f0adf4e45318ce312d2cb077b6de2dd170be6b3d4efe8c82e9a96faf13e96

    扫一扫

    分享文章到微信


    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号京公网安备 11010802021500号
    举报电话:010-62641205-5060 举报邮箱:jubao@zhiding.cn 安全联盟认证