劫持銀行網站5個小時，黑客如何做到的？

這天下午發生了一件怪事。她和往常一樣登錄網銀，網址明明是銀行官網，她卻總感覺網站有些不對勁，安裝了網站提示的“網銀安全控件”，殺毒軟件突然自動關閉了，她不知道這是為什么，明明就是銀行的官網網址……

這是個真實的事件。

擁有 500 萬用戶，總資產超 250 億美元的巴西 Banrisul 銀行，在當地時間 2016 年 10 月 22 日遭遇了長達 5 個小時的網站劫持，期間所有用戶被“接管”到一個精心布置的釣魚網站，所有成功登錄的用戶都被竊取了憑據，并且電腦被植入惡意木馬。事后安全專家評價，這次攻擊事件是有史以來最大規模的行動之一。該銀行至今未發布任何公告，受影響用戶范圍不詳……

然而這一事件卻被威脅情報平臺微步在線捕獲，他們通過技術手段還原了整個攻擊流程。發現黑客運用了一種堪稱“隔山打牛”的精妙攻擊手法。這種手法首次出現在銀行行業。

黑客“隔山打牛”搞定銀行

直接攻破銀行的業務系統，似乎不太可能，罪犯們決定來個迂回攻擊。

犯罪團伙這次攻擊起碼準備了幾個月，因為幾個月前，他們就在谷歌云服務商搭建了一個仿冒銀行網站，然后利用免費的網站證書供應商 Let's encrypt 拿到 https 證書。

微步在線的資深威脅分析師察罕告訴雷鋒網。

搭建好網站，拿到 https 證書，釣魚網站就能在瀏覽器上展示“安全”標志和綠色小鎖了。騙過用戶的肉眼只是第一步，然后就到了“隔山打牛”的關鍵步驟：黑客利用漏洞或釣魚郵件的方式搞到了 Banrisul 銀行在另一家網站 Registro.br 的賬號密碼。

Registro.br 是干什么的？ DNS 服務商。也就是“隔山打牛”里的那座“山”。

這里簡單科普一下 DNS 在網站中的作用。DNS 域名解析服務，是互聯網中的“帶路人”，負責將用戶帶到正確的網站服務器。當你在瀏覽器中輸入網站網址時，其實是由 DNS 服務器將你指引到正確的服務器 IP 的。

那么問題來了，DNS 服務既然能把用戶往正確的服務器上帶，也就能把用戶往坑里帶，攻擊者們想到了這一點。他們盜走了巴西銀行在 DNS 服務商那里的賬號，然后將銀行網站域名指向他們精心構建的釣魚網站地址。

于是就出現了文章開頭的一幕，用戶即使一字不差地輸入了銀行官網的網址，進入的依然是釣魚網站。用戶輸入賬號密碼時，很難意識到自己正在將密碼拱手送人。這時網站再彈出一個“安全控件安裝”提示，用戶便自然而然地裝上了所謂的“安全控件”， 其實是惡意木馬。

這種方式在業內被稱之為“DNS 劫持攻擊”，是一種比較常見的攻擊方式，但在銀行業之前沒有相關案例。

被劫持了幾個小時之后，銀行工作人員終于發現了問題，趕緊向用戶發送緊急郵件，并郵件聯系 DNS 供應商，卻發現整個銀行內部的郵件系統失效了！

根據微步在線的威脅報告，該銀行一共有 36 個網站都被修改了 DNS 記錄，不僅是網銀系統，連內部的郵件系統也被修改了 DNS 指向，導致郵件系統失效，銀行無法通過郵件來通知受害者，以及聯系 DNS 供應商。

DNS 劫持整整持續了 5 小時之久，最終銀行將網站恢復了正常。然而在這期間所有登錄過的用戶信息早已泄露，并且電腦被植入了惡意木馬。

根據報告中的木馬樣本分析，這一惡意程序運行后會自動從遠程服務器下載另一個惡意程序，用來關閉殺毒軟件，并且獲取系統信息、監控桌面、執行命令等等，并且不斷訪問一臺遠程服務器的某一個端口。顯然，那一頭坐始作俑者，操縱者整次攻擊。

細節回顧：銀行的“失策”

其實，曾經出現了有好幾次發現攻擊者的機會，但銀行安全人員沒有好好珍惜（等到失去后，才后悔莫及）。從安全攻防的角度上來看，這次事件完全有辦法避免。

首先，有專家分析，DNS 提供商 Registro.br 于 1 月份修復了一個跨站點請求偽造漏洞（一種漏洞類型，用于非法登錄他人賬號），攻擊者很可能是通過那個漏洞攻擊的他們，但巴西某銀行并沒有啟用 Registro.br 提供的雙因素身份認證機制，錯失了防御住黑客的第一個機會，黑客成功攻入了其 DNS 服務賬號。 

微步在線在威脅通報上稱：

國內各大銀行網站也使用了的眾多域名服務商的 DSN 服務，其中多家域名服務商的網站也曾被爆出存在嚴重漏洞，可能泄露用戶敏感細信息，需引起有關單位的高度重視。

網站存在漏洞幾乎無可避免，但據雷鋒網了解，國內的域名服務商像中國萬網、新網、廣東互易網絡等等，也都提供了賬戶雙因素認證機制。及時開啟這些安全認證，能夠大幅提高賬戶安全性。

其次，黑客早在幾個月就開始準備“軍火”，但銀行遲遲沒有發現。微步在線的察罕還向雷鋒網透露了一個關鍵信息：黑客在劫持銀行網站之前的幾個小時，曾經多次修改 DNS 記錄，但是幾分鐘內又改回來了，分析師推測那可能是黑客在為正式劫持做測試。

“很可惜，銀行沒有注意到這個異常變化，這也暴露了該銀行在 DNS 威脅分析上的不足” 察罕說，通常在黑客進行一次完整的攻擊活動時，不會立刻行動，而是提前搜集信息、尋找漏洞、搭建環境等等，業內稱之為“網絡殺傷鏈“（Cyber Kill Chain）。其中很多動作都會暴露攻擊者的意圖，如果能及時發現，就能及時響應威脅。

同樣，網站 DNS 出現變化很正常，但是如果忽然指向了一個陌生的 IP，或者說常理上不太可能出現的情況，比如騰訊家的網站忽然指向了阿里云上的 IP，這顯然不太正常。

這些變化其實就是威脅來臨的特征，說明有可能“有人要搞你”。如果能及時獲知這些變化，就能及時發現并響應，不過很可惜的是巴西 Banrisul 銀行并沒有做到這一點，他們沒有發現攻擊幾小時前的異常變化。

察罕告訴雷鋒網(公眾號：雷鋒網)，目前這種攻擊手法在銀行業還是首次出現，不排除后續國內銀行也遭遇類似手法攻擊的可能性。國內各大銀行目前使用的域名服務商眾多，而域名服務商又處于外部，并不屬于銀行管控，因此提醒企業們及時排查 DNS 系統的安全性，并做好威脅信息監測， 堤防“隔山打牛”再次上演。

雷鋒網注：本文線索來自微步在線提供的威脅情報通報《巴西 Banrisul 銀行網站遭遇 DNS 劫持攻擊》，在宅客頻道回復：DNS 劫持 ，可下載該報告。

來自: 雷鋒網