劫持银行网站5个小时,黑客如何做到的?
|
此日下战书产生了一件怪事。她和往常一样登录网银,网址显着是银行官网,她却总感受网站有些差池劲,安装了网站提醒的“网银安详控件”,杀毒软件溘然自动封锁了,她不知道这是为什么,显着就是银行的官网网址…… 这是个真实的变乱。 拥有500万用户,总资产超250亿美元的巴西 Banrisul 银行,在内地时刻 2016年10月22日遭遇了长达5个小时的网站挟制,时代全部用户被“经受”到一个全心部署的垂纶网站,全部乐成登录的用户都被窃取了根据,而且电脑被植入恶意木马。过后卡巴斯基的安详专家评价,这次进攻变乱是有史以来最大局限的动作之一。该银行至今未宣布任何通告,受影响用户范畴不详…… 然而这一变乱却被威胁谍报平台微步在线捕捉,他们通过技妙本领还原了整个进攻流程。发明黑客运用了一种堪称“隔山打牛”的精妙进攻伎俩。这种伎俩初次呈此刻银行行业。 黑客“隔山打牛”搞定银行 直接攻破银行的营业体系,好像不太也许,罪犯们抉择来个迂回进攻。 犯法团伙这次进攻最少筹备了几个月,由于几个月前,他们就在谷歌云处事商搭建了一个仿冒银行网站,然后操作免费的网站证书供给商 Let's encrypt 拿到 https 证书。 微步在线的资深威胁说明师察罕汇报雷锋网。 搭建好网站,拿到 https 证书,垂纶网站就能在赏识器上展示“安详”符号和绿色小锁了。骗过用户的肉眼只是第一步,然后就到了“隔山打牛”的要害步调:黑客操作裂痕或垂纶邮件的方法搞到了 Banrisul 银行在另一家网站 Registro.br 的账号暗码。 Registro.br 是干什么的? DNS 处事商。也就是“隔山打牛”里的那座“山”。 这里简朴科普一下 DNS 在网站中的浸染。DNS 域名理会处事,是互联网中的“带路人”,认真将用户带到正确的网站处事器。当你在赏识器中输入网站网址时,着实是由 DNS 处事器将你指引到正确的处事器IP的。 那么题目来了,DNS 处事既然能把用户往正确的处事器上带,也就能把用户往坑里带,进攻者们想到了这一点。他们盗走了巴西银行在 DNS 处事商哪里的账号,然后将银行网站域名指向他们全心构建的垂纶网站地点。 于是就呈现了文章开头的一幕,用户纵然一字不差地输入了银行官网的网址,进入的依然是垂纶网站。用户输入账号暗码时,很难意识到本身正在将暗码拱手送人。这时网站再弹出一个“安详控件安装”提醒,用户便天然而然地装上了所谓的“安详控件”, 着实是恶意木马。 这种方法在业内被称之为“DNS挟制进攻”,是一种较量常见的进攻方法,但在银行业之前没有相干案例。 被挟制了几个小时之后,银行事恋职员终于发明白题目,赶忙向用户发送紧张邮件,并邮件接洽 DNS 供给商,却发明整个银行内部的邮件体系失效了! 按照微步在线的威胁陈诉,该银行一共有36个网站都被修改了 DNS记录,不只是网银体系,连内部的邮件体系也被修改了 DNS 指向,导致邮件体系失效,银行无法通过邮件来关照受害者,以及接洽 DNS 供给商。 DNS 挟制整整一连了5小时之久,最终银行将网站规复了正常。然而在这时代全部登录过的用户信息早已泄漏,而且电脑被植入了恶意木马。 按照陈诉中的木马样天职析,这一恶意措施运行后会自动从长途处事器下载另一个恶意措施,用来封锁杀毒软件,而且获取体系信息、监控桌面、执行呼吁等等,而且不绝会见一台长途处事器的某一个端口。显然,那一头坐始作俑者,哄骗者整次进攻。 细节回首:银行的“失察”着实,曾经呈现了有好屡次发明进攻者的机遇,但银行安详职员没有好好珍惜(比及失去后,才反悔莫及)。从安详攻防的角度上来看,这次变乱完全有步伐停止。 起首,有专家说明,DNS 提供商 Registro.br 于 1 月份修复了一个跨站点哀求伪造裂痕(一种裂痕范例,用于犯科登录他人账号),进攻者很也许是通过谁人裂痕进攻的他们,但巴西某银行并没有启用Registro.br 提供的双身分身份认证机制,错失了防止住黑客的第一个机遇,黑客乐成攻入了 其 DNS 处事账号。 微步在线在威胁传递上称: 海内各大银行网站也行使了的浩瀚域名处事商的 DSN 处事,个中多家域名处事商的网站也曾被爆出存在严峻裂痕,也许泄漏用户敏感细信息,需引起有关单元的高度重视。 网站存在裂痕险些无可停止,但据雷锋网相识,海内的域名处事商像中国万网、新网、广东互易收集等等,也都提供了账户双身分认证机制。实时开启这些安详认证,可以或许大幅进步账户安详性。 其次,黑客早在几个月就开始筹备“军器”,但银行迟迟没有发明。微步在线的察罕还向雷锋网透露了一个要害信息:黑客在挟制银行网站之前的几个小时,曾经多次修改 DNS 记录,可是几分钟内又改返来了,说明师展望那也许是黑客在为正式挟制做测试。 “很痛惜,银行没有留意到这个非常变革,这也袒露了该银行在DNS威胁说明上的不敷” 察罕说,凡是在黑客举办一次完备的进攻勾那时,不会立即动作,而是提前汇集信息、探求裂痕、搭建情形等等,业内称之为“收集杀伤链“(Cyber Kill Chain)。个中许多举措城市袒露进攻者的意图,假如能实时发明,就能实时相应威胁。 同样,网站 DNS 呈现变革很正常,可是假如突然指向了一个生疏的 IP,可能说常理上不太也许呈现的环境,好比腾讯家的网站突然指向了阿里云上的IP,这显然不太正常。 这些变革着实就是威胁光降的特性,声名有也许“有人要搞你”。假如能实时获知这些变革,就能实时发明并相应,不外很痛惜的是巴西 Banrisul 银行并没有做到这一点,他们没有发明进攻几小时前的非常变革。 察罕汇报雷锋网,今朝这种进攻伎俩在银行颐魅照旧初次呈现,不解除后续海内银行也遭遇相同伎俩进攻的也许性。海内各大银行今朝行使的域名处事商浩瀚,而域名处事商又处于外部,并不属于银行管控,因此提示企业们实时排查 DNS 体系的安详性,并做好威胁信息监测, 堤防“隔山打牛”再次上演。 雷锋网注:本文线索来自微步在线提供的威胁谍报传递《巴西Banrisul银行网站遭遇DNS挟制进攻》,在宅客频道回覆:DNS挟制,可下载该陈诉。 雷锋网原创文章,未经授权榨取转载。 (编辑:厦门网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
