?

Sep 03 2016

關于近期曝光的針對銀行SWIFT系統攻擊事件綜合分析

首頁 » 業界見聞 » 關于近期曝光的針對銀行SWIFT系統攻擊事件綜合分析   

1.jpg

 

一、 概述

2016 年 2 月孟加拉國央行被黑客攻擊導致 8100 萬美元被竊取的事件被曝光后,如越南 先鋒銀行、厄瓜多爾銀行等,針對銀行 SWIFT 系統的其他網絡攻擊事件逐一被公開。在相關 事件曝光后,我們立即對相關攻擊事件的展示溯源分析,就越南先鋒銀行相關攻擊樣本,我們形成了技術報告《SWIFT 之殤——針對越南先鋒銀行的黑客攻擊技術初探》

在分析孟加拉國央行和越南先鋒銀行攻擊事件期間,我們發現近期曝光的這 4 起針對銀 行的攻擊事件并非孤立的,而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。 另外通過對惡意代碼同源性分析,我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相 關惡意代碼與 Lazarus 組織(APT-C-26)有關聯,但我們不確定幕后的攻擊組織是 Lazarus 組 織(APT-C-26)。 另外攻擊組織對目標銀行作業流程極為熟悉,也就并非短期內所能達到的,我們推測在 偵查跟蹤環節,攻擊者應該針對目標進行了長時間且非常專注的持續性分析。 在對相關攻擊事件的分析和剖析過程中,也暴露出諸多銀行等金融行業本身的安全問題。 如這一系列攻擊事件要想達到金錢竊取,前提就需要獲得銀行本身 SWIFT 操作權限,而要獲得相關權限則首先需要將銀行自身網絡攻陷。 

近年來,針對銀行、證券等金融行業的 APT 攻擊不斷出現,盡管目前披露的還只是以 境外銀行業發生的安全事件為主,但是網絡攻擊本就是跨國界的,這對于國內銀行業的安全 防護也敲響了警鐘。在過去的安全實踐中,我們不止一次發現了國內金融行業曾遭受到了 APT 攻擊,安全態勢并不是天下太平;再結合之前安天移動發布的《針對移動銀行和金融支付的持續黑產行動披露——DarkMobileBank 跟蹤分析報告》中所披露的地下黑產針對金融 行業最終用戶的攻擊現狀,我們確實有必要重新審視國內金融行業所面臨的安全風險,以及在過去的安全規劃與建設基礎上創新思路,以應對不斷出現的新興威脅。

二、 孟加拉央行攻擊事件回顧 

1. 背景 

2016 年 2 月 5 日,孟加拉國央行(Bangladesh Central Bank)被黑客攻擊導致 8100 萬美 元被竊取,攻擊者通過網絡攻擊或者其他方式獲得了孟加拉國央行 SWIFT 系統操作權限,進 一步攻擊者向紐約聯邦儲備銀行(Federal Reserve Bank of New York)發送虛假的 SWIFT 轉賬 指令,孟加拉國央行在紐約聯邦儲備銀行上設有代理帳戶。紐約聯邦儲備銀行總共收到 35 筆,總價值 9.51 億美元的轉賬要求,其中 30 筆被拒絕,另外 5 筆總價值 1.01 億美元的交 易被通過。進一步其中 2000 萬美元因為拼寫錯誤(Foundation 誤寫為 fandation)被中間行 發覺而被找回,而另外 8100 萬美元則被成功轉走盜取。 而我們捕獲到的這次網絡攻擊中所使用的惡意代碼,其功能是篡改 SWIFT 報文和刪除相 關數據信息以掩飾其非法轉賬的痕跡,其中攻擊者通過修改 SWIFT 的 Alliance Access 客戶端 軟件的數據有效性驗證指令,繞過相關驗證。 

2. 攻擊流程  

2.jpg

 

3.jpg4.jpg

 

3. 篡改 MT900 報文 

《SWIFT 之殤——針對越南先鋒銀行的黑客攻擊技術初探》3中“二、 關于 SWIFT”,詳 細介紹了 SWIFT。MT900 是 SWIFT MT 十大類報文中其中第 9 類的一種,關于 MT900 報文的 格式,下面有詳細介紹,這樣有助于理解后門具體篡改細節。 

1) MT900 借記證實 

MT900 范圍 

這是由帳戶行發給開戶行,用來通知開戶行某筆款項已借記其所開帳戶的報文格式。該 借記將在對帳單中被進一步證實。如果帳戶行經常發送該帳戶的對帳單,那么就不會定期發 送此報文。  該報文不能用于記帳,它只是向收報行(即開戶行)證實這一筆借記

5.jpg

 

 

6.jpg

71.jpg

 

 

 

 

獲取 nfzp/nfzf 下所有”%d_%d”報文,并且根據 MSG_TRN_REF 是否已經在配置紀錄當 中進行分類,同時獲取”%d_1″中的”60F”和”Sender”。  

注:以下表 3 和表 4 是 MT900 報文中具體需要修改的項,具體修改操作細節暫不公開 

 

8.jpg

 

此處操作的執行條件為:上張報文中的”Sender”為”FEDERAL RESERVE BANK”。foff 下會更 新數據庫,fofp 時不會跟新數據庫。

打開 foff/fofp 目錄下的第一個含有”-”的報文。更該賬單中的 19A 和 90B,在賬單中,19A 和 90B 應該只有一項。 

9.jpg

 

4. liboradb.dll 分析 

本次事件中攻擊者通過修改 SWIFT 的 Alliance Access 客戶端軟件中數據有效性驗證指令, 繞過相關驗證,而導致相關問題的文件就是 liboradb.dll。 liboradb.dll 基于 OCI 編程開發,作為 SWIFT alliance 核心組件,為程序提供 Oracle 數據 庫交互操作接口,其中包含權限驗證功能。此 dll 被 SWIFT 數據庫服務進程調用,作為連接 Oracle 數據庫的接口。 OCI 介紹:OCI(Oracle Call Interface,即 0racle 調用層接口)是 Oracle 公司提供的由頭 文件和庫函數等組成的一個訪問 Oracle 數據庫的應用程序編程接口(application programming interface API),它允許開發人員在第三代編程語言(包括 C, C++, COBOL 與 FORTRAN)中通過 SQL(Structure Query Language)來操縱 Oracle 數據庫,而且 OCI 在一定 程度上支持第三代編程語言(諸如 C, C++, COBOL 與 FORTRAN)的數據類型、語法等等。 

三、 相關攻擊事件綜合分析 

1. SWIFT 官方預警或申明 

2016 年 5 月 9 日,環球銀行金融電信協會(SWIFT)發表聲明表示5,SWIFT 拒絕由孟加 拉國銀行和孟加拉國警方的刑事調查部門(CID)官員提出的虛假指控,SWIFT 對孟加拉銀行劫 案不負有任何責任,孟加拉銀行有責任維護其銀行系統環境的安全。 2016 年 5 月 10 日,孟加拉國央行的新掌門人、紐約聯邦儲備銀行和 SWIFT 官員在瑞士 巴塞爾會晤討論。在一份簡短的聯合聲明中,雙方表示,他們致力于追回被竊資金,將肇事 者繩之以法,并協同工作來“標準化操作”。6 2016 年 5 月 13 日,SWIFT 協會發布的一份報告7中稱,已有第二家銀行報告遭到網絡攻 擊,這起攻擊與孟加拉國央行在紐約聯邦儲備銀行的賬戶被竊 8100 萬美元的網絡攻擊類似, 具體損失情況未知。并強調稱,針對孟加拉國央行的惡意軟件,對 SWIFT 的網絡或核心信息 交互系統沒有影響,該惡意軟件只能在黑客已經成功發現并利用當地(銀行)系統網絡安全 隱患之后才能被植入。就此,SWIFT 已經研發出相應設備,幫助客戶提升網絡安全、找準當 地數據庫記錄有出入之處。 2016 年 5 月 24 日,在布魯塞爾歐洲金融服務第十四屆年度會議上,SWIFT 首席執行官 Gottfried Leibbrandt 表示8,SWIFT 將提升其網絡系統安全性,采取包括對銀行管理軟件提出 更嚴格的安全要求,管控支付方式和第三方機構認證等措施。他重申,攻擊并未對 SWIFT 的網絡或核心信息交互系統造成影響,并透露將會啟動一個新項目,旨在維護全球金融體系 安全。 2016 年 5 月 27 日,SWIFT 協會宣稱啟動新的客戶項目,針對日益猖獗的網絡威脅,保 護全球金融體系的財產安全。該項目分為 5 個戰略舉措9,包括提高國際機構之間信息共享、 增強客戶的 SWIFT 相關工具、加強指導,提供審計的框架、支持增加事務模式檢測、加強支 持第三方提供者。 

2. 戰術:瞄準 SWIFT 系統 

1) 針對銀行系統的一系列攻擊事件 

2016 年-孟加拉國央行(Bangladesh Central Bank) 

在本報告第二部分內容詳細介紹了攻擊流程和篡改 MT900 報文的細節,在這里不進一 步占據,具體內容請參看:“二、孟加拉央行攻擊事件回顧”。 

2015 年-越南先鋒銀行(Tien Phong Bank) 

10.jpg

 

 

針對越南先鋒銀行的攻擊中,相關惡意代碼內置了 8 家銀行的 SWIFT CODE,越南銀行 均在這些銀行中設有代理帳戶。目前看到的 Fake PDF Reader 樣本目的不是攻擊列表中的這 些銀行,而是用來刪除越南銀行與其他家銀行間的轉帳確認(篡改 MT950 對帳單)。這樣銀 行的監測系統就不會發現這種不當交易了。 關于針對越南先鋒銀行的攻擊,可以參看我們之前發布的報告:《SWIFT 之殤——針對 越南先鋒銀行的黑客攻擊技術初探》。 

2015 年-厄瓜多爾銀行(Banco del Austro)

據路透社報道,2015 年 1 月 12 號,在一條來自厄瓜多爾 Banco del Austro(DBA)銀行系 統信息的指引下,位于舊金山的 Wells Forga 向香港的銀行賬戶進行了轉賬。并且在接連 10 天內,至少有 12 筆的 BDA 銀行資金通過 SWIFT 系統被轉走,總金額高達 1200 萬美金。BDA已就該事件將 Wells Frago 向紐約法庭提起了訴訟,理由是 Wells Forgo 美國銀行本應該將這 些交易標記為可疑交易,然而從訴訟資料看,雙方銀行都相信這些資金是被匿名黑客盜走的。 另外,SWIFT 方面的負責人在案件被報道之前卻對此毫不知情。相關人士稱,SWIFT 確 實會核驗系統發送信息中的密碼來確保信息來自銀行用戶的終端設備。但是一旦網絡盜竊者 獲取了密碼和證書,SWIFT 就無法判斷操作者是不是真正的賬戶持有人了。而黑客正式鉆了 這個空子,盜取了一名銀行雇員的 SWIFT 證書,金額盜走了巨額資金。 

2013 年-索納莉銀行(Sonali Bank)

據路透社報道,2013 年孟加拉國的索納莉銀行(Sonali Bank)也發生了類似孟加拉央行 的攻擊事件,在索納莉事件中,攻擊者盜取了 25 萬美金的銀行資金。銀行 IT 運營部的高級 官員稱,在索納莉銀行劫案中,黑客們在一臺電腦上安裝 keylogger 來竊取其他系統的密碼, 然后使用 SWIFT 系統發送偽造的轉賬申請。  

2) 相似的攻擊戰術 

11.jpg

 

通過分析從 2013 年的索納莉到 2016 年的孟加拉國央行這 4 個攻擊銀行的事件,結合 上圖,不難看出相關攻擊事件之間有很多的相似性。 從攻擊戰術或攻擊流程進行分析,其中主要環節是獲得 SWIFT、利用 SWIFT 發送轉賬指 令和最終清除證據掩蓋事實這三個部分。

第一,獲得目標銀行 SWIFT 權限:首先需要獲得目標銀行的 SWIFT 系統操作權限,索 納莉銀行和厄瓜多爾銀行從相關報道來看,均是通過網絡攻擊來獲得了相關權限。據有關報 道稱索納莉銀行 SWIFT 相關登錄帳號和密碼是被植入的惡意代碼所監控竊取,而厄瓜多爾也 是類似登錄驗證憑證被竊取,由此我們可以得到一個信息,就是攻擊者要獲得 SWIFT 操作權 限,并不需要進行物理接觸,完全通過網絡即可完成。而目前尚未有報道明確指出孟加拉國 央行的 SWIFT 系統權限是通過網絡攻擊獲得,但相關調查孟加拉央行事件的研究人員表示應 該是黑客利用網絡攻擊獲得了相關登錄憑證。而越南先鋒銀行本身沒有被攻擊,問題出在其 第三方服務商(提供 SWIFT 服務),但目前不清楚是否是通過網絡進行攻擊獲得相關 SWIFT 操作權限的,先鋒銀行之后表示要改為直接連接 SWIFT 系統。 

第二,向其他銀行發送轉賬指令(代理帳戶):攻擊者在獲得 SWIFT 權限之后,最核心 的目的就是要利用 SWIFT 發送轉賬指令,我們推測應該是 SWIFT MT 報文中第一類報文,如 MT103(單筆客戶匯款)。除索納莉銀行以外,我們發現攻擊者均向存在目標銀行代理帳戶 的銀行發送轉賬指令,如美國國富銀行設有厄瓜多爾銀行的代理帳戶、大華銀行等其他 7 家銀行設有越南先鋒銀行的代理帳戶和紐約聯邦儲備銀行設有孟加拉國央行的代理帳戶。通 俗來講也就是孟加拉國央行等這幾個目標銀行存在其他銀行上的錢被冒名轉走了。 

第三,篡改 MT9XX 報文\清除證據:由于暫未捕獲到針對索納莉和厄瓜多爾銀行進行攻 擊的惡意代碼,所以我們無法知道是否有該環節。我們主要來看越南先鋒銀行和孟加拉國央 行,首先攻擊者都是對 MT9XX 報文進行了劫持,在對越南先鋒銀行是劫持 MT950 對帳單, 在針對孟加拉國央行是劫持了 MT900 借記證實,進一步都是對相關報文進行了篡改,目的 是刪除相關轉帳記錄,進行平帳。有區別是孟加拉國央行是對相關報文篡改后直接發送給打 印機,打印出來,而越南先鋒銀行是對 MT950 的電子版 PDF 進行篡改后,然后打印機打印 篡改后的 PDF。攻擊者最終目的就是篡改報告,另外刪除其他一些數據信息,目的是抹去相 關證據線索。另外我們發現越南先鋒銀行和孟加拉國央行中攻擊者所使用的惡意代碼,從代 碼同源性上,都存在一個特殊的安全刪除函數,這也更進一步證明的這兩次攻擊事件并不是 孤立的,兩者之間必然有一定聯系。 總體而言,這類攻擊戰術就是針對具備 SWIFT 系統的銀行進行攻擊,首先需要依托網絡 攻擊或其他手段獲得 SWIFT 權限,進一步向其他銀行上的代理帳戶發送轉帳指令來達到金錢 竊取的目的,最終使用惡意代碼進行相關證據清除掩蓋事實的過程。  

3. 技術:惡意代碼同源性分析 

安全刪除函數 

我們發現孟加拉國央行、越南先鋒銀行攻擊中使用的惡意代碼內的安全刪除函數是復用 了相同的代碼,進一步 Lazarus 組織在 2014 年針對索尼的攻擊中的惡意代碼和賽門鐵克安全 公司在近期發布的安全報告13中提到,針對東南亞金融業的有限目標性攻擊中出現的 Backdoor.Fimlis 惡意代碼,都復用了同樣的代碼。 安全刪除函數有 2 個參數:文件名和迭代次數。首先使用 5F 覆蓋文件的末尾字節,然 后根據 6 個控制字節決定使用什么數據覆蓋原文件內容。

四、 總結 

1. 攻擊由一個組織或多個組織協同發起 

從對相關攻擊事件的戰術層面和技術層面的深入分析,我們認為近期曝光的這 4 起針對 銀行的攻擊事件并非孤立的,而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。 

2. 攻擊組織極為熟悉目標銀行的作業流程 

如越南先鋒銀行中,從將惡意程序構造偽裝成Foxit reader(福昕PDF閱讀器)到對MT950 對帳單 PDF 文件的解析和精確的篡改等攻擊手法,都反映出攻擊者對銀行內部交易系統和 作業流程非常熟悉。攻擊者的攻擊意圖明確,而且攻擊者要如此了解和展開相關攻擊行動, 事前進行了大量偵查情報收集的工作。 

3. 與 Lazarus 組織(APT-C-26)存在關聯 

針對 SWIFT 攻擊事件中與 Lazarus 組織所使用的相關惡意代碼,我們從樣本代碼層面進 行同源性分析,發現其中一個特殊的安全刪除函數基本是進行了代碼復用。從這一點來看, 針對越南先鋒銀行和孟加拉國央行的攻擊應該是與 Lazarus 組織有一定的聯系。 安全刪除函數這部分代碼能關聯到 Lazarus 組織曾今在 2013 年發動的 darkseoul 攻擊行 動和 2014 年針對索尼影視娛樂公司的攻擊行動,相關攻擊行動的 IOC(MD5\C&C 等)在當 時已經被安全機構公開了,也可以理解為安全刪除函數這個本身特殊的代碼在當時就已經公 開了。也就是在此之后,比如 2015 年、2016 年非 Lazarus 組織的攻擊者,也可以輕松的獲 得安全刪除函數的代碼并在進行開發其他惡意代碼的時候拿來使用。簡而言之,如果我們依 靠這處安全刪除函數,來判定某個惡意代碼是否屬于 Lazarus 組織,是不具備強關聯性的。 正如我們之前發布的洋蔥狗報告(APT-C-03) 14 “第 5 章 ICEFOG‘重生’:誤導?嫁禍?” 中提到的觀點,我們不排除這有可能是其他組織刻意加入的干擾項。 

4. 銀行業本身暴露出諸多安全問題 

近期曝光的 4 起針對銀行的攻擊事件中,其中 2013 年的索納莉銀行、2015 厄瓜多爾銀 行確定是由網絡進行攻擊獲得相關轉賬權限,另外越南先鋒銀行和孟加拉國央行也是自身環 節發生了問題,導致攻擊者具備發送 SWIFT 轉賬指令的權限。 這明顯暴露出銀行自身的安全防護薄弱,另外攻擊者通過網絡攻擊就可以獲得 SWIFT 權限,并加以操作,以及攻擊者對 SWIFT 的 Alliance Access 客戶端軟件的數據有效性驗證指 令,繞過相關驗證等等,這些都暴露出 SWIFT 本身也存在一定問題,如是否在普通的帳號 密碼驗證機制基礎上,可以加一些需要依賴物理設備或環境才能進行驗證的步驟,這樣能大 大隔離純粹來自網絡的攻擊。 

*企業賬號:360安全衛士,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

http://www.freebuf.com/articles/terminal/113606.html

 

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽:這篇文章木有標簽

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «一個文件,百種名稱,百種行為:“百家”木馬集團分析 | Bypass UAC的一個實例分析»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖