入侵银行的传统模式与抢劫银行的老式方法没有太大的区别,其流程无非是——盗贼进来,获取财务,最后溜出去。但是,一个针对巴西银行实施攻击的黑客似乎采取了更为全面和迂回的做法:一个周末的下午,攻击者通过域名劫持的手段,将所有银行在线客户重定向到虚假的银行网站,轻松地获取了他们的帐户信息。
本周二,安全公司卡巴斯基的研究人员介绍称,银行诈骗的行为是前所未见的,攻击者基本上劫持了银行的所有在线业务。研究人员表示,去年10月22日下午1点钟,黑客更改了所有36家银行在线业务的域名系统(DNS)注册,控制了银行的桌面和移动网络域名,并将用户重定位到网络钓鱼网站中。这就意味着,黑客可以获取托管在银行合法网址中的网站的登录凭证。卡巴斯基研究人员认为,黑客甚至可能已经将自动取款机或销售点系统上的所有交易重定向到了自己的服务器中,用来收集周六下午,在自动取款机或销售点系统上使用过银行卡的用户的信用卡详细信息。
卡巴斯基研究人员之一的德米特里·贝鲁佐夫(Dmitry Bestuzhev)在发现恶意软件感染客户后,实时分析了此次攻击表示,
绝对所有银行的在线操作都受到攻击者的控制,并至少持续了五到六个小时。在这5小时的时间里,钓鱼网站会向所有访问者提供恶意软件,可能有数万甚至上百万全球范围内的用户受到了这种攻击。
DNS压力(DNS Stress)
卡巴斯基并未发布DNS重定向攻击中针对的银行名称。但该公司表示,它是巴西一家主流金融公司,拥有数百家分行,并在美国和开曼群岛拥有超过500万名客户,且资产超过270亿美元。尽管卡巴斯基表示尚不清楚此次攻击造成的具体损失,但它至少可以对全球各地的银行发出了警告,来认真思考其DNS的不安全性将对其核心数字资产带来多大的灾难。Bestuzhev说,
这种对互联网的威胁虽是已知的,但是我们从未见过如此大规模的威胁利用和影响。
域名系统,或DNS是互联网使用的命名系统,用来将字母数字字符(例如Google.com)转换为IP地址(例如74.125.236.195)来代表计算机主机网站或这些机器上托管的其他服务的实际位置。攻击这些记录可能会导致网站下线,或者更糟的是,将其重定向到黑客选择的目的地来实施进一步攻击。
例如,在2013年,“叙利亚电子军(Syrian Electronic Army)”黑客组织更改了“纽约时报”的DNS注册,并将访问者重定向到带有他们logo的页面中。就说最近的一个案例,Mirai僵尸网络针对DNS提供商Dyn发起DDoS攻击,最终导致许多主流网站宕机,包括亚马逊、推特以及Reddit等。
但是在针对巴西银行的案件中,攻击者利用受害者的DNS显然更多的是利益驱动的行为。卡巴斯基认为,攻击者入侵了该银行DNS提供商Registro.br的账户。DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞,研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。
研究人员认为,入侵Registro.br账户后,攻击者能够同时更改所有银行域名的注册信息,并将其重定向到攻击者在Google的 Cloud Platform.2上设置的服务器中。
通过域名劫持手段,访问银行网站URL的任何人都会被重定向到伪造的钓鱼网站中。这些网站甚至有以银行名义发布的有效的HTTPS证书,以便访问者会在浏览器中看到绿色锁(green lock,网站安全的标志)和银行名称,就像真实的网站一样。卡巴斯基还发现,该证书是六个月前由非营利证书颁发机构Let’s Encrypt(一个免费、开放、自动化的证书颁发机构,由 互联网安全研究组织ISRG运作)发行的。不久前嘶吼平台的安全快讯也有谈到,在过去几个月内,Let’s Encrypt已经颁发了上千份包含PayPal字符的SSL证书。
Let’s Encrypt创始人Josh Aas说,
如果一个实体获得了对DNS的控制权,进而获得了对域名的控制权,该实体是有可能从我们公司获得有效的HTTPS证书的。我们为其发布证书也不能算是我们的失误,因为接收证书的实体向我们正确地展示了其控制域名的能力。
最终,劫持事件就如此顺利地完成了,银行甚至没有机会给用户发送电子邮件进行警告。Bestuzhev说,
银行甚至没有机会与客户沟通,向其发出安全预警,可以说,如果您的DNS已经受到网络犯罪分子的控制,您基本上算是被困住了。
除了网络钓鱼之外,伪造网站还可以通过诱使用户下载恶意软件来感染用户,通常,该恶意软件会伪装成巴西银行提供给客户的Trusteer浏览器安全插件的更新程序。
根据卡巴斯基的分析显示,恶意软件不仅获取了巴西银行以及其他8家银行的登录凭证,还收集了它们的电子邮件和FTP凭证以及Outlook和Exchange联系人列表等信息,所有数据都被传输到一台托管在加拿大的命令和控制(C2)服务器中。该恶意软件还有逃避防病毒软件检测的能力;此外,恶意软件中包含葡萄牙语的因素,暗示攻击者可能是巴西人。
完全接管
卡巴斯基的研究人员认为,大概五个小时之后,该银行可能才通过调用NIC.br来重新获得了对其域名的控制权,并更正了DNS注册信息。但是,数小时内究竟有多少客户沦为DNS攻击的受害者仍然是一个谜。
卡巴斯基表示,该银行并没有将该信息与网络公司分享,也没有公开披露此次攻击事件。但该公司认为,攻击者可能不仅可以通过网络钓鱼计划和恶意软件,还可以将ATM和销售点系统的交易信息重定向到他们控制的基础设施中来获取数十万或数百万客户的帐户信息。Bestuzhev说,
我们目前尚不清楚最大的危害因素是什么:是恶意软件、网络钓鱼还是销售点或ATM。
而NIC.br一开始为什么会失去对银行业务系统的控制呢?卡巴斯基指出,NIC.br的一月份博客文章中承认其网站中存在一个漏洞,在某些情况下可以允许更改客户端的设置。但NIC.br也在其发布的博文中指出,目前并没有证据表明这一漏洞已被用于实施攻击活动。该博文也提及了“最近发生的涉及DNS服务器更改带来的重大影响”,但却将其归咎于“社会工程攻击”。
NIC.br的技术总监Frederico Neves否认NIC.br已被“黑客入侵”,并质疑卡巴斯基提出的有关全部36个银行的域名都被劫持的声明。Neves 表示,
我可以确定卡巴斯基公布的数字都是猜测的,我承认,攻击者可能通过网络钓鱼或入侵用户电子邮箱等手段而最终劫持了DNS,发起了一系列攻击活动。
由于缺乏基本的安全防御措施,针对巴西银行的攻击事件第一次向我们展示了,通过更改域名就可以在数小时的时间内完全接管整个银行的在线业务的威力。
卡巴斯基的研究人员Bestuzhev认为,对于银行来说,这一事件应该是一个明确的警告,敦促银行机构定期检查其DNS的安全性。他指出,资产总额排名前20的银行中,有一半没有管理自己的DNS,而是将其置于潜在的可入侵的第三方手中。无论银行的DNS是控制在自己还是第三方手中,都必须采取特别的预防措施以防止因缺乏安全检测而发生的DNS注册被更改的情况。例如某些注册商提供的“注册表锁”和双因素身份验证,可以加大黑客改变它们的难度,起到一定的防御作用。
