【51CTO.com快譯】企業(yè)域名正在變成其最重要的資產之一,失去對它的控制會直接影響到其網站。對于一家大型巴西銀行來說,2016年秋天遭遇的域名劫持事件直接導致攻擊者竊取該銀行的支付卡數(shù)據(jù),并接管客戶帳戶,以惡意軟件感染客戶。
卡巴斯基實驗室研究人員Fabio Assolini和Dmitry Bestuzhev在上周的安全分析師峰會上表示,2016年10月22日下午1點左右,復雜的網絡犯罪組獲得了銀行域名注冊商的訪問權限,并修改了該銀行所有36個在線資產的域名系統(tǒng)(DNS)記錄。
DNS將人性化的域名轉換為托管網站或應用程序的服務器IP地址。通過更改DNS記錄,即使用戶正在使用正確的網址,攻擊者也可以將所有用戶重新路由到實際服務器的其他目的地。在這次大規(guī)模的銀行詐騙行動中,該團伙向銀行客戶發(fā)送了幾乎完美的Google Cloud Platform托管的網站副本。
研究人員最初認為攻擊只是另一個網站劫持和網絡釣魚操作,但很快就意識到,攻擊者對獲取登錄憑據(jù)和下載惡意軟件感興趣:他們已經占領了銀行的整個互聯(lián)網存在。
Assolini說:“所有領域,包括企業(yè)領域,都被壞家伙控制著?!?/span>
完整的pwnage
據(jù)了解,在巴西的攻擊者干擾了該銀行的網上銀行、移動應用、銷售點終端,自動柜員機和投資交易。通過路由ATM和銷售點系統(tǒng),攻擊者收集了在攻擊窗口中使用信用卡或借記卡的任何人的支付卡詳細信息,嘗試訪問銀行網站的任何人都會被感染惡意軟件,該惡意軟件會從Outlook和Exchange中竊取登錄信息和電子郵件聯(lián)系人列表。攻擊者獲取了所有人登錄網上銀行應用程序的憑證,這是針對特定銀行客戶的網絡釣魚行為。
而在事件發(fā)生后,銀行安全團隊需要5-6個小時才能重新獲得控制權。更糟糕的是,由于攻擊者控制了銀行電子郵件和FTP服務器使用的域,使得銀行無法通知其客戶,內部員工甚至無法相互溝通。
雖然研究人員仍然不知道損害的全部程度,但這次攻擊是一個警示,要求銀行和其他企業(yè)考慮其DNS的不安全性可能會導致其在線業(yè)務完全失去控制。
Bestuzhev說:“如果您的DNS受到網絡犯罪分子的控制,您就會受傷。”
這種域名劫持并不罕見,因為攻擊者篡改DNS記錄將用戶引導到惡意網站。例如,在2013年之后,敘利亞電子部隊成功地將“紐約時報”域名劫持到顯示其標志的頁面。專家長期警告,DNS易受攻擊,需要更好的安全性,但是這些警告常常被其他更直接的安全問題所淹沒。
Bestuzhev說:“這是對互聯(lián)網的已知威脅,但是我們從未見過這么大規(guī)模的劫持行為?!?/span>
一切都從域名開始
攻擊者破壞了該銀行的DNS Registro.br,并獲得了該銀行DNS記錄的控制權,但研究人員仍然不知道他們使用了什么方法。“在1月份,注冊服務商在其網站上披露了一個跨站點請求偽造漏洞,這個漏洞將使惡意代理人對帳戶進行身份驗證,但注冊服務商稱該漏洞在銀行劫持行為中沒有被使用。”Bestuzhev說。初始的攻擊媒介可能是一個傳播給注冊服務商員工的詐騙電子郵件。
“如果受害者的雇員訪問DNS表,攻擊者可能造成的破壞將遠遠超過接管一家銀行?!盉esuzhev說。
由于銀行沒有使用雙因素身份驗證,盡管域名注冊商提供了安全性選項,但攻擊者仍然可以訪問該帳戶并更改所有DNS記錄的信息。雙因素身份驗證可能會阻止這種妥協(xié),或者至少警告銀行的維權者發(fā)生了意想不到的事情。
操作元素
隨著域名的控制,攻擊者需要一個地方來指導用戶,所以他們去了云端。銀行的桌面和移動網站域名被巧妙地克隆在Google Cloud上,并以免費的證書頒發(fā)機構使用銀行名稱頒發(fā)的有效證書進行加密。網站看起來和往常一樣,瀏覽器顯示正確的URL,HTTPS和封閉的掛鎖圖標。難怪用戶被愚弄了。
在襲擊過程中訪問該銀行網站的用戶感染了一個惡意的.JAR文件,偽裝成銀行的Trusteer安全插件的更新。安裝后,惡意軟件使用Avenger(一種合法的滲透測試工具)來禁用受害者計算機上安裝的現(xiàn)有安全軟件。不同的模塊從Outlook和Exchange收集了登錄憑據(jù)、電子郵件和FTP信息以及電子郵件聯(lián)系人列表。惡意軟件的另一部分是看看受害者是否與巴西、英國、日本、葡萄牙、意大利、中國、阿根廷,開曼群島和美國的其他銀行進行了帳戶往來,并嘗試收獲這些登錄憑據(jù)。
“Google Cloud的選擇很有趣?!盉esuzhev說,由于攻擊者的基礎設施具有比銀行自己的數(shù)據(jù)中心業(yè)務更好的性能和可靠性,因此IT從來沒有得到客戶或員工的警告,說明性能低下或服務遲緩。
銀行的維權者有一個“銀盾”,即銀行的移動應用程序使用證書,這是一種安全機制,旨在防止攻擊者冒用假冒證書的網站。因此,攻擊者無法通過該應用造成很大的傷害。
DNS需要被保護 - 期限
互聯(lián)網依賴于DNS,而DNS是非常脆弱的。許多企業(yè)依賴第三方提供商的DNS基礎設施。去年秋天,Dyn的停電清楚地表明,這使得他們特別容易受到這種類型的攻擊。無論誰控制DNS,企業(yè)仍然必須啟用安全保護。
并非所有注冊商都提供雙重身份驗證以保護帳戶,但即使對于那些帳戶,客戶也不用打擾安全層。一些注冊商提供DNSSEC,這是一種注冊表鎖,以防止DNS記錄被輕易修改,但沒有被廣泛使用。
卡巴斯基研究人員表示,盡管銀行最終重新獲得控制權,可能通過致電(或傳真)注冊商來修復DNS記錄,但受害機器仍然被惡意軟件感染,并且仍然可能會從受害者竊取信息。因為這家銀行是一家擁有超過250億美元資產的大型機構,全球500萬客戶,12,000名員工,1,000個終端和500個分支機構在巴西、阿根廷,美國和開曼群島。
Bestuzhev指出,企業(yè)應該有專門用于關注域名和DNS問題的事件響應小組,以便他們能夠更快地檢測到這些變化。如果所有的攻擊者所要做的就是接管域名,那么網絡鎖定并不重要,而應考慮應用程序和網站的安全性如何,或者防御者可能具有哪些層次的安全性。