黑客「隔山打牛」劫持銀行網站5個小時 如何做到的？

本文作者：謝幺

導語：微步在線通報了一則威脅情報，還原了巴西 Banrisul 銀行被黑客攻擊的事件細節。

這天下午發生了一件怪事。她和往常一樣登錄網銀，網址明明是銀行官網，她卻總感覺網站有些不對勁，安裝了網站提示的「網銀安全控制項」，殺毒軟體突然自動關閉了，她不知道這是為什麼，明明就是銀行的官網網址……

這是個真實的事件。

擁有500萬用戶，總資產超250億美元的巴西 Banrisul 銀行，在當地時間 2016年10月22日遭遇了長達5個小時的網站劫持，期間所有用戶被「接管」到一個精心布置的釣魚網站，所有成功登錄的用戶都被竊取了憑據，並且電腦被植入惡意木馬。事後卡巴斯基的安全專家評價，這次攻擊事件是有史以來最大規模的行動之一。該銀行至今未發布任何公告，受影響用戶範圍不詳……

然而這一事件卻被威脅情報平台微步在線捕獲，他們通過技術手段還原了整個攻擊流程。發現黑客運用了一種堪稱「隔山打牛」的精妙攻擊手法。這種手法首次出現在銀行行業。

黑客「隔山打牛」搞定銀行

直接攻破銀行的業務系統，似乎不太可能，罪犯們決定來個迂迴攻擊。

犯罪團伙這次攻擊起碼準備了幾個月，因為幾個月前，他們就在谷歌雲服務商搭建了一個仿冒銀行網站，然後利用免費的網站證書供應商 Let"s encrypt 拿到 https 證書。

微步在線的資深威脅分析師察罕告訴雷鋒網。

搭建好網站，拿到 https 證書，釣魚網站就能在瀏覽器上展示「安全」標誌和綠色小鎖了。騙過用戶的肉眼只是第一步，然後就到了「隔山打牛」的關鍵步驟：黑客利用漏洞或釣魚郵件的方式搞到了 Banrisul 銀行在另一家網站 Registro.br 的賬號密碼。

Registro.br 是幹什麼的？ DNS 服務商。也就是「隔山打牛」里的那座「山」。

這裡簡單科普一下 DNS 在網站中的作用。DNS 域名解析服務，是互聯網中的「帶路人」，負責將用戶帶到正確的網站伺服器。當你在瀏覽器中輸入網站網址時，其實是由 DNS 伺服器將你指引到正確的伺服器IP的。

那麼問題來了，DNS 服務既然能把用戶往正確的伺服器上帶，也就能把用戶往坑裡帶，攻擊者們想到了這一點。他們盜走了巴西銀行在 DNS 服務商那裡的賬號，然後將銀行網站域名指向他們精心構建的釣魚網站地址。

於是就出現了文章開頭的一幕，用戶即使一字不差地輸入了銀行官網的網址，進入的依然是釣魚網站。用戶輸入賬號密碼時，很難意識到自己正在將密碼拱手送人。這時網站再彈出一個「安全控制項安裝」提示，用戶便自然而然地裝上了所謂的「安全控制項」， 其實是惡意木馬。

這種方式在業內被稱之為「DNS劫持攻擊」，是一種比較常見的攻擊方式，但在銀行業之前沒有相關案例。

被劫持了幾個小時之後，銀行工作人員終於發現了問題，趕緊向用戶發送緊急郵件，並郵件聯繫 DNS 供應商，卻發現整個銀行內部的郵件系統失效了！

根據微步在線的威脅報告，該銀行一共有36個網站都被修改了 DNS記錄，不僅是網銀系統，連內部的郵件系統也被修改了 DNS 指向，導致郵件系統失效，銀行無法通過郵件來通知受害者，以及聯繫 DNS 供應商。

DNS 劫持整整持續了5小時之久，最終銀行將網站恢復了正常。然而在這期間所有登錄過的用戶信息早已泄露，並且電腦被植入了惡意木馬。

根據報告中的木馬樣本分析，這一惡意程序運行後會自動從遠程伺服器下載另一個惡意程序，用來關閉殺毒軟體，並且獲取系統信息、監控桌面、執行命令等等，並且不斷訪問一台遠程伺服器的某一個埠。顯然，那一頭坐始作俑者，操縱者整次攻擊。

細節回顧：銀行的「失策」

其實，曾經出現了有好幾次發現攻擊者的機會，但銀行安全人員沒有好好珍惜（等到失去後，才後悔莫及）。從安全攻防的角度上來看，這次事件完全有辦法避免。

首先，有專家分析，DNS 提供商 Registro.br 於 1 月份修復了一個跨站點請求偽造漏洞（一種漏洞類型，用於非法登錄他人賬號），攻擊者很可能是通過那個漏洞攻擊的他們，但巴西某銀行並沒有啟用 Registro.br 提供的雙因素身份認證機制，錯失了防禦住黑客的第一個機會，黑客成功攻入了 其 DNS 服務賬號。

微步在線在威脅通報上稱：

國內各大銀行網站也使用了的眾多域名服務商的 DSN 服務，其中多家域名服務商的網站也曾被爆出存在嚴重漏洞，可能泄露用戶敏感細信息，需引起有關單位的高度重視。

網站存在漏洞幾乎無可避免，但據雷鋒網(公眾號：雷鋒網)了解，國內的域名服務商像中國萬網、新網、廣東互易網路等等，也都提供了賬戶雙因素認證機制。及時開啟這些安全認證，能夠大幅提高賬戶安全性。

其次，黑客早在幾個月就開始準備「軍火」，但銀行遲遲沒有發現。微步在線的察罕還向雷鋒網透露了一個關鍵信息：黑客在劫持銀行網站之前的幾個小時，曾經多次修改 DNS 記錄，但是幾分鐘內又改回來了，分析師推測那可能是黑客在為正式劫持做測試。

「很可惜，銀行沒有注意到這個異常變化，這也暴露了該銀行在DNS威脅分析上的不足」 察罕說，通常在黑客進行一次完整的攻擊活動時，不會立刻行動，而是提前搜集信息、尋找漏洞、搭建環境等等，業內稱之為「網路殺傷鏈「（Cyber Kill Chain）。其中很多動作都會暴露攻擊者的意圖，如果能及時發現，就能及時響應威脅。

同樣，網站 DNS 出現變化很正常，但是如果忽然指向了一個陌生的 IP，或者說常理上不太可能出現的情況，比如騰訊家的網站忽然指向了阿里雲上的IP，這顯然不太正常。

這些變化其實就是威脅來臨的特徵，說明有可能「有人要搞你」。如果能及時獲知這些變化，就能及時發現並響應，不過很可惜的是巴西 Banrisul 銀行並沒有做到這一點，他們沒有發現攻擊幾小時錢的異常變化。

察罕告訴雷鋒網，目前這種攻擊手法在銀行業還是首次出現，不排除後續國內銀行也遭遇類似手法攻擊的可能性。國內各大銀行目前使用的域名服務商眾多，而域名服務商又處於外部，並不屬於銀行管控，因此提醒企業們及時排查 DNS 系統的安全性，並做好威脅信息監測， 堤防「隔山打牛」再次上演。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！