案例剖析:如何入侵一家银行

臭名昭著的黑客 Phineas Phisher 宣称,2016 年对开曼国民银行(马恩岛)的攻击中净赚数十万英镑。我们不妨来看看他的攻击手法,分析为什么值得引起警惕。Phineas Phisher 在题为《如何打劫一家银行》的宣言中称,劫掠一家银行比你想象的要容易,尤其是你不关心要劫哪家银行的时候。Phineas Phisher 泄露的普华永道事件响应报告证实了他的声明。该报告描述了被劫银行开曼国民银行(马恩岛)有限公司 (CNBIOM),及其姐妹公司开曼国民信托(马恩岛)有限公司 (CNTIOM) 被入侵管理层的事实。

普华永道拒绝评论开曼国民银行事件,亦拒绝对欺诈交易的进展进行披露。在新闻发布中,开曼国民银行承认了攻击,宣称 “此时并无证据证明与 CNBIOM 或 CNTIOM 客户,或与开曼国民银行相关的金融失窃或欺诈。” 该新闻发布并未提及银行自身所受金融损失。

仔细审查 Phineas Phisher 所用方法可以洞悉我们金融基础设施面对攻击的脆弱性,昭示稍微有点技术的个人或团伙如何在劫掠银行后全身而退。

Phineas Phisher 是谁?

Phineas Phisher 之前曾宣称为著名网络佣兵团 Gamma Group 和 Hacking Team 入侵事件负责,自称是以反资本主义、反帝制和反监视为目的的个人。有人怀疑 Phineas Phisher 是国家支持的黑客组织,但我们无从知晓。2016 银行劫案中所用黑客工具都是 PowerShell 和 Mimikatz 等现成的渗透测试工具。这意味着如果 Phineas Phisher 能做到,那么其他任何稍微懂点儿技术的攻击者也能做到。这就使得开曼国民攻击成为了网络防护不良的案例研究或者取决于你的视角,如何劫掠银行的案例研究。

银行劫案剖析。

获取立足点

Phineas Phisher 在其(西班牙语写就的)《如何劫掠一家银行》的指南中写道:老话说,给他一个漏洞,他能有一天的访问权,教他如何网络钓鱼,他余生都能获得访问权。普华永道的事件响应报告证实该银行确实遭遇了网络钓鱼。根据普华永道的报告,该银行劫犯在 2015 年 8 月,以虚假电子邮件账户“csdeployment@swift.com”,从抢注的域名“cncim .com”,向一名银行员工发送了主题为 “价格变更” 的网络钓鱼电子邮件。该域名的注册时间是 2015 年 7 月 27 日。普华永道报告称,该域名很有可能就是专门为了此次攻击而特别注册的。

还有别人在同一时期随机针对同一家银行就很有趣了。这说明银行黑客事件颇为广泛。

普华永道的报告表明,攻击所用的网络钓鱼漏洞利用程序就是很常见的犯罪软件。

对网络钓鱼电子邮件随附恶意软件的分析表明,这就是黑客网上可购的 Adwind3 恶意软件。鉴于所涉时间框架,我们无法确定该恶意软件是否与近期的事件直接相关。但该恶意电子邮件似乎是为入侵 CNBT 开曼国民银行和信托公司而专门设计的。

研究人员表示,本次攻击的附件攻击载荷名为 “1_Price_Updates_098123876_docs.jar”,当那位 CNBT 的雇员点击此附件时,其工作站就遭到了感染,银行劫犯在此银行网络成功俘获一个立足点。2016 年 CheckPoint 对 Adwind3 RAT 的研究报告称,这是一个完全用 Java 实现的后门,因此是跨平台的。这是大规模垃圾邮件攻击和全球金融机构针对性攻击都常用的流行工具。其所有版本 (Frutas、Adwind、AlienSpy、UNRECOM、JSocket) 均可通过官网注册加以购买——所谓恶意软件即服务概念。

但 Phineas Phisher 告诉媒体称,网络钓鱼者另有其人。

网络钓鱼的不是我。还有别人在同一时期随机针对同一家银行就很有趣了。这说明银行黑客很是广泛。我是通过攻击 Hacking Team 时用的 Sonicwall SSL/VPN 漏洞利用进去的。

Phineas Phisher 在给媒体的邮件中承认,使用了 Empire 和 Meterpreter,但没用 Adwind3。

网络钓鱼尝试用到了 Adwind3。但我用的是 Metasploit 框架。我用了 Empire [RAT]。我没用 Adwind,而且是以 PowerShell Empire 维持驻留的。

当银行在 2016 年 1 月发现未授权 SWIFT 交易时,他们引入了普华永道来做事件响应。普华永道发现了 Phineas Phisher 的 shell,清理了被感染的服务器和工作站,安装了他们的专有网络监视解决方案 SonarShock,以分析该银行的网络,持续监视恶意活动指征。那么 Phineas Phisher 到底是怎么获取到那份事件响应报告的呢?Phineas Phisher 写道:普华永道开始调查此黑客事件的时候,他们发现了我使用 Empire 和 Meterpreter 的痕迹,清理了这些计算机并封锁了这些 IP,但他们没有发现我的备份访问。就在普华永道开始监视网络的时候,该银行劫犯低调了一阵。我启动了一次 Mimikatz 以获取新密码,此后我就可以通过读取他们 Outlook Web 电子邮件来跟进调查了。

Mimikatz 可不是什么高精尖的技术。这并不是一起复杂攻击的事实,无疑会给银行敲响警钟,也会激励其他银行劫犯。

驻留与逃逸

时间回溯到 2015 年 8 月。Phineas Phisher 在该银行的网络中立足后,他释放了一个反向 shell 以维持驻留,然后使用了一系列渗透测试工具来观察银行员工怎么进行 SWIFT 支付。他还花了点时间阅读银行文档,学习银行如何处理出站 SWIFT 交易。Phineas Phisher 在该银行的网络中驻留了五个月未被发现,期间尝试了十次 SWIFT 交易,净赚数十万英镑——需指出的是,这个数额远少于 2016 年初孟加拉央行被朝鲜黑客盗取的 8,100 万美元。Phineas Phisher 写道,2016 年 1 月 5 日最初的几起成功交易之后,第二天就遇到了麻烦,搞砸了几起用错误 SWIFT 码标识中介银行的交易。

为什么银行会成为目标?Phineas Phisher 扫描互联网以找寻自己能利用的所有脆弱 VPN 设备,匹配搜索银行的反向 DNS 结果,然后决定 “开曼” 听起来很有趣。

《如何劫掠一家银行》中写道:我没想着去黑某家特定银行。我只想黑自己能黑的随便一家银行,这样工作就好做得多了。

或许您的银行就是下一家受害者。

PwC 事件响应报告:

https://data.ddosecrets.com/file/Sherwood/Pallid-Nutmeg.pdf

2016Checkpoint Adwind RAT 研究报告:

https://blog.checkpoint.com/2016/02/24/adwind-malware-as-a-service-reincarnation/

上一篇:2019VPN报告:一年内全球移动VPN下载量4.8 亿

下一篇:微软披露新型恶意程序Dexphot 全球设备感染数已到8万