【51CTO.com快译】企业域名正在变成其最重要的资产之一,失去对它的控制会直接影响到其网站。对于一家大型巴西银行来说,2016年秋天遭遇的域名劫持事件直接导致攻击者窃取该银行的支付卡数据,并接管客户帐户,以恶意软件感染客户。
卡巴斯基实验室研究人员Fabio Assolini和Dmitry Bestuzhev在上周的安全分析师峰会上表示,2016年10月22日下午1点左右,复杂的网络犯罪组获得了银行域名注册商的访问权限,并修改了该银行所有36个在线资产的域名系统(DNS)记录。
DNS将人性化的域名转换为托管网站或应用程序的服务器IP地址。通过更改DNS记录,即使用户正在使用正确的网址,攻击者也可以将所有用户重新路由到实际服务器的其他目的地。在这次大规模的银行诈骗行动中,该团伙向银行客户发送了几乎完美的Google Cloud Platform托管的网站副本。
研究人员最初认为攻击只是另一个网站劫持和网络钓鱼操作,但很快就意识到,攻击者对获取登录凭据和下载恶意软件感兴趣:他们已经占领了银行的整个互联网存在。
Assolini说:“所有领域,包括企业领域,都被坏家伙控制着。”
完整的pwnage
据了解,在巴西的攻击者干扰了该银行的网上银行、移动应用、销售点终端,自动柜员机和投资交易。通过路由ATM和销售点系统,攻击者收集了在攻击窗口中使用信用卡或借记卡的任何人的支付卡详细信息,尝试访问银行网站的任何人都会被感染恶意软件,该恶意软件会从Outlook和Exchange中窃取登录信息和电子邮件联系人列表。攻击者获取了所有人登录网上银行应用程序的凭证,这是针对特定银行客户的网络钓鱼行为。
而在事件发生后,银行安全团队需要5-6个小时才能重新获得控制权。更糟糕的是,由于攻击者控制了银行电子邮件和FTP服务器使用的域,使得银行无法通知其客户,内部员工甚至无法相互沟通。
虽然研究人员仍然不知道损害的全部程度,但这次攻击是一个警示,要求银行和其他企业考虑其DNS的不安全性可能会导致其在线业务完全失去控制。
Bestuzhev说:“如果您的DNS受到网络犯罪分子的控制,您就会受伤。”
这种域名劫持并不罕见,因为攻击者篡改DNS记录将用户引导到恶意网站。例如,在2013年之后,叙利亚电子部队成功地将“纽约时报”域名劫持到显示其标志的页面。专家长期警告,DNS易受攻击,需要更好的安全性,但是这些警告常常被其他更直接的安全问题所淹没。
Bestuzhev说:“这是对互联网的已知威胁,但是我们从未见过这么大规模的劫持行为。”
一切都从域名开始
攻击者破坏了该银行的DNS Registro.br,并获得了该银行DNS记录的控制权,但研究人员仍然不知道他们使用了什么方法。“在1月份,注册服务商在其网站上披露了一个跨站点请求伪造漏洞,这个漏洞将使恶意代理人对帐户进行身份验证,但注册服务商称该漏洞在银行劫持行为中没有被使用。”Bestuzhev说。初始的攻击媒介可能是一个传播给注册服务商员工的诈骗电子邮件。
“如果受害者的雇员访问DNS表,攻击者可能造成的破坏将远远超过接管一家银行。”Besuzhev说。
由于银行没有使用双因素身份验证,尽管域名注册商提供了安全性选项,但攻击者仍然可以访问该帐户并更改所有DNS记录的信息。双因素身份验证可能会阻止这种妥协,或者至少警告银行的维权者发生了意想不到的事情。
操作元素
随着域名的控制,攻击者需要一个地方来指导用户,所以他们去了云端。银行的桌面和移动网站域名被巧妙地克隆在Google Cloud上,并以免费的证书颁发机构使用银行名称颁发的有效证书进行加密。网站看起来和往常一样,浏览器显示正确的URL,HTTPS和封闭的挂锁图标。难怪用户被愚弄了。
在袭击过程中访问该银行网站的用户感染了一个恶意的.JAR文件,伪装成银行的Trusteer安全插件的更新。安装后,恶意软件使用Avenger(一种合法的渗透测试工具)来禁用受害者计算机上安装的现有安全软件。不同的模块从Outlook和Exchange收集了登录凭据、电子邮件和FTP信息以及电子邮件联系人列表。恶意软件的另一部分是看看受害者是否与巴西、英国、日本、葡萄牙、意大利、中国、阿根廷,开曼群岛和美国的其他银行进行了帐户往来,并尝试收获这些登录凭据。
“Google Cloud的选择很有趣。”Besuzhev说,由于攻击者的基础设施具有比银行自己的数据中心业务更好的性能和可靠性,因此IT从来没有得到客户或员工的警告,说明性能低下或服务迟缓。
银行的维权者有一个“银盾”,即银行的移动应用程序使用证书,这是一种安全机制,旨在防止攻击者冒用假冒证书的网站。因此,攻击者无法通过该应用造成很大的伤害。
DNS需要被保护 - 期限
互联网依赖于DNS,而DNS是非常脆弱的。许多企业依赖第三方提供商的DNS基础设施。去年秋天,Dyn的停电清楚地表明,这使得他们特别容易受到这种类型的攻击。无论谁控制DNS,企业仍然必须启用安全保护。
并非所有注册商都提供双重身份验证以保护帐户,但即使对于那些帐户,客户也不用打扰安全层。一些注册商提供DNSSEC,这是一种注册表锁,以防止DNS记录被轻易修改,但没有被广泛使用。
卡巴斯基研究人员表示,尽管银行最终重新获得控制权,可能通过致电(或传真)注册商来修复DNS记录,但受害机器仍然被恶意软件感染,并且仍然可能会从受害者窃取信息。因为这家银行是一家拥有超过250亿美元资产的大型机构,全球500万客户,12,000名员工,1,000个终端和500个分支机构在巴西、阿根廷,美国和开曼群岛。
Bestuzhev指出,企业应该有专门用于关注域名和DNS问题的事件响应小组,以便他们能够更快地检测到这些变化。如果所有的攻击者所要做的就是接管域名,那么网络锁定并不重要,而应考虑应用程序和网站的安全性如何,或者防御者可能具有哪些层次的安全性。