一、 概述
2016 年 2 月孟加拉國(guó)央行被黑客攻擊導(dǎo)致 8100 萬(wàn)美元被竊取的事件被曝光后,如越南 先鋒銀行、厄瓜多爾銀行等,針對(duì)銀行 SWIFT 系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開。在相關(guān) 事件曝光后,我們立即對(duì)相關(guān)攻擊事件的展示溯源分析,就越南先鋒銀行相關(guān)攻擊樣本,我們形成了技術(shù)報(bào)告《SWIFT 之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》
在分析孟加拉國(guó)央行和越南先鋒銀行攻擊事件期間,我們發(fā)現(xiàn)近期曝光的這 4 起針對(duì)銀 行的攻擊事件并非孤立的,而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。 另外通過(guò)對(duì)惡意代碼同源性分析,我們可以確定本次針對(duì)孟加拉國(guó)央行和越南先鋒銀行的相 關(guān)惡意代碼與 Lazarus 組織(APT-C-26)有關(guān)聯(lián),但我們不確定幕后的攻擊組織是 Lazarus 組 織(APT-C-26)。 另外攻擊組織對(duì)目標(biāo)銀行作業(yè)流程極為熟悉,也就并非短期內(nèi)所能達(dá)到的,我們推測(cè)在 偵查跟蹤環(huán)節(jié),攻擊者應(yīng)該針對(duì)目標(biāo)進(jìn)行了長(zhǎng)時(shí)間且非常專注的持續(xù)性分析。 在對(duì)相關(guān)攻擊事件的分析和剖析過(guò)程中,也暴露出諸多銀行等金融行業(yè)本身的安全問(wèn)題。 如這一系列攻擊事件要想達(dá)到金錢竊取,前提就需要獲得銀行本身 SWIFT 操作權(quán)限,而要獲得相關(guān)權(quán)限則首先需要將銀行自身網(wǎng)絡(luò)攻陷。
近年來(lái),針對(duì)銀行、證券等金融行業(yè)的 APT 攻擊不斷出現(xiàn),盡管目前披露的還只是以 境外銀行業(yè)發(fā)生的安全事件為主,但是網(wǎng)絡(luò)攻擊本就是跨國(guó)界的,這對(duì)于國(guó)內(nèi)銀行業(yè)的安全 防護(hù)也敲響了警鐘。在過(guò)去的安全實(shí)踐中,我們不止一次發(fā)現(xiàn)了國(guó)內(nèi)金融行業(yè)曾遭受到了 APT 攻擊,安全態(tài)勢(shì)并不是天下太平;再結(jié)合之前安天移動(dòng)發(fā)布的《針對(duì)移動(dòng)銀行和金融支付的持續(xù)黑產(chǎn)行動(dòng)披露——DarkMobileBank 跟蹤分析報(bào)告》中所披露的地下黑產(chǎn)針對(duì)金融 行業(yè)最終用戶的攻擊現(xiàn)狀,我們確實(shí)有必要重新審視國(guó)內(nèi)金融行業(yè)所面臨的安全風(fēng)險(xiǎn),以及在過(guò)去的安全規(guī)劃與建設(shè)基礎(chǔ)上創(chuàng)新思路,以應(yīng)對(duì)不斷出現(xiàn)的新興威脅。
二、 孟加拉央行攻擊事件回顧
1. 背景
2016 年 2 月 5 日,孟加拉國(guó)央行(Bangladesh Central Bank)被黑客攻擊導(dǎo)致 8100 萬(wàn)美 元被竊取,攻擊者通過(guò)網(wǎng)絡(luò)攻擊或者其他方式獲得了孟加拉國(guó)央行 SWIFT 系統(tǒng)操作權(quán)限,進(jìn) 一步攻擊者向紐約聯(lián)邦儲(chǔ)備銀行(Federal Reserve Bank of New York)發(fā)送虛假的 SWIFT 轉(zhuǎn)賬 指令,孟加拉國(guó)央行在紐約聯(lián)邦儲(chǔ)備銀行上設(shè)有代理帳戶。紐約聯(lián)邦儲(chǔ)備銀行總共收到 35 筆,總價(jià)值 9.51 億美元的轉(zhuǎn)賬要求,其中 30 筆被拒絕,另外 5 筆總價(jià)值 1.01 億美元的交 易被通過(guò)。進(jìn)一步其中 2000 萬(wàn)美元因?yàn)槠磳戝e(cuò)誤(Foundation 誤寫為 fandation)被中間行 發(fā)覺(jué)而被找回,而另外 8100 萬(wàn)美元?jiǎng)t被成功轉(zhuǎn)走盜取。 而我們捕獲到的這次網(wǎng)絡(luò)攻擊中所使用的惡意代碼,其功能是篡改 SWIFT 報(bào)文和刪除相 關(guān)數(shù)據(jù)信息以掩飾其非法轉(zhuǎn)賬的痕跡,其中攻擊者通過(guò)修改 SWIFT 的 Alliance Access 客戶端 軟件的數(shù)據(jù)有效性驗(yàn)證指令,繞過(guò)相關(guān)驗(yàn)證。
2. 攻擊流程
3. 篡改 MT900 報(bào)文
《SWIFT 之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》3中“二、 關(guān)于 SWIFT”,詳 細(xì)介紹了 SWIFT。MT900 是 SWIFT MT 十大類報(bào)文中其中第 9 類的一種,關(guān)于 MT900 報(bào)文的 格式,下面有詳細(xì)介紹,這樣有助于理解后門具體篡改細(xì)節(jié)。
1) MT900 借記證實(shí)
MT900 范圍
這是由帳戶行發(fā)給開戶行,用來(lái)通知開戶行某筆款項(xiàng)已借記其所開帳戶的報(bào)文格式。該 借記將在對(duì)帳單中被進(jìn)一步證實(shí)。如果帳戶行經(jīng)常發(fā)送該帳戶的對(duì)帳單,那么就不會(huì)定期發(fā) 送此報(bào)文。 該報(bào)文不能用于記帳,它只是向收?qǐng)?bào)行(即開戶行)證實(shí)這一筆借記。
2) 具體篡改流程
獲取 nfzp/nfzf 下所有”%d_%d”報(bào)文,并且根據(jù) MSG_TRN_REF 是否已經(jīng)在配置紀(jì)錄當(dāng) 中進(jìn)行分類,同時(shí)獲取”%d_1″中的”60F”和”Sender”。
注:以下表 3 和表 4 是 MT900 報(bào)文中具體需要修改的項(xiàng),具體修改操作細(xì)節(jié)暫不公開
此處操作的執(zhí)行條件為:上張報(bào)文中的”Sender”為”FEDERAL RESERVE BANK”。foff 下會(huì)更 新數(shù)據(jù)庫(kù),fofp 時(shí)不會(huì)跟新數(shù)據(jù)庫(kù)。
打開 foff/fofp 目錄下的第一個(gè)含有”-”的報(bào)文。更該賬單中的 19A 和 90B,在賬單中,19A 和 90B 應(yīng)該只有一項(xiàng)。
4. liboradb.dll 分析
本次事件中攻擊者通過(guò)修改 SWIFT 的 Alliance Access 客戶端軟件中數(shù)據(jù)有效性驗(yàn)證指令, 繞過(guò)相關(guān)驗(yàn)證,而導(dǎo)致相關(guān)問(wèn)題的文件就是 liboradb.dll。 liboradb.dll 基于 OCI 編程開發(fā),作為 SWIFT alliance 核心組件,為程序提供 Oracle 數(shù)據(jù) 庫(kù)交互操作接口,其中包含權(quán)限驗(yàn)證功能。此 dll 被 SWIFT 數(shù)據(jù)庫(kù)服務(wù)進(jìn)程調(diào)用,作為連接 Oracle 數(shù)據(jù)庫(kù)的接口。 OCI 介紹:OCI(Oracle Call Interface,即 0racle 調(diào)用層接口)是 Oracle 公司提供的由頭 文件和庫(kù)函數(shù)等組成的一個(gè)訪問(wèn) Oracle 數(shù)據(jù)庫(kù)的應(yīng)用程序編程接口(application programming interface API),它允許開發(fā)人員在第三代編程語(yǔ)言(包括 C, C++, COBOL 與 FORTRAN)中通過(guò) SQL(Structure Query Language)來(lái)操縱 Oracle 數(shù)據(jù)庫(kù),而且 OCI 在一定 程度上支持第三代編程語(yǔ)言(諸如 C, C++, COBOL 與 FORTRAN)的數(shù)據(jù)類型、語(yǔ)法等等。
三、 相關(guān)攻擊事件綜合分析
1. SWIFT 官方預(yù)警或申明
2016 年 5 月 9 日,環(huán)球銀行金融電信協(xié)會(huì)(SWIFT)發(fā)表聲明表示5,SWIFT 拒絕由孟加 拉國(guó)銀行和孟加拉國(guó)警方的刑事調(diào)查部門(CID)官員提出的虛假指控,SWIFT 對(duì)孟加拉銀行劫 案不負(fù)有任何責(zé)任,孟加拉銀行有責(zé)任維護(hù)其銀行系統(tǒng)環(huán)境的安全。 2016 年 5 月 10 日,孟加拉國(guó)央行的新掌門人、紐約聯(lián)邦儲(chǔ)備銀行和 SWIFT 官員在瑞士 巴塞爾會(huì)晤討論。在一份簡(jiǎn)短的聯(lián)合聲明中,雙方表示,他們致力于追回被竊資金,將肇事 者繩之以法,并協(xié)同工作來(lái)“標(biāo)準(zhǔn)化操作”。6 2016 年 5 月 13 日,SWIFT 協(xié)會(huì)發(fā)布的一份報(bào)告7中稱,已有第二家銀行報(bào)告遭到網(wǎng)絡(luò)攻 擊,這起攻擊與孟加拉國(guó)央行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶被竊 8100 萬(wàn)美元的網(wǎng)絡(luò)攻擊類似, 具體損失情況未知。并強(qiáng)調(diào)稱,針對(duì)孟加拉國(guó)央行的惡意軟件,對(duì) SWIFT 的網(wǎng)絡(luò)或核心信息 交互系統(tǒng)沒(méi)有影響,該惡意軟件只能在黑客已經(jīng)成功發(fā)現(xiàn)并利用當(dāng)?shù)兀ㄣy行)系統(tǒng)網(wǎng)絡(luò)安全 隱患之后才能被植入。就此,SWIFT 已經(jīng)研發(fā)出相應(yīng)設(shè)備,幫助客戶提升網(wǎng)絡(luò)安全、找準(zhǔn)當(dāng) 地?cái)?shù)據(jù)庫(kù)記錄有出入之處。 2016 年 5 月 24 日,在布魯塞爾歐洲金融服務(wù)第十四屆年度會(huì)議上,SWIFT 首席執(zhí)行官 Gottfried Leibbrandt 表示8,SWIFT 將提升其網(wǎng)絡(luò)系統(tǒng)安全性,采取包括對(duì)銀行管理軟件提出 更嚴(yán)格的安全要求,管控支付方式和第三方機(jī)構(gòu)認(rèn)證等措施。他重申,攻擊并未對(duì) SWIFT 的網(wǎng)絡(luò)或核心信息交互系統(tǒng)造成影響,并透露將會(huì)啟動(dòng)一個(gè)新項(xiàng)目,旨在維護(hù)全球金融體系 安全。 2016 年 5 月 27 日,SWIFT 協(xié)會(huì)宣稱啟動(dòng)新的客戶項(xiàng)目,針對(duì)日益猖獗的網(wǎng)絡(luò)威脅,保 護(hù)全球金融體系的財(cái)產(chǎn)安全。該項(xiàng)目分為 5 個(gè)戰(zhàn)略舉措9,包括提高國(guó)際機(jī)構(gòu)之間信息共享、 增強(qiáng)客戶的 SWIFT 相關(guān)工具、加強(qiáng)指導(dǎo),提供審計(jì)的框架、支持增加事務(wù)模式檢測(cè)、加強(qiáng)支 持第三方提供者。
2. 戰(zhàn)術(shù):瞄準(zhǔn) SWIFT 系統(tǒng)
1) 針對(duì)銀行系統(tǒng)的一系列攻擊事件
2016 年-孟加拉國(guó)央行(Bangladesh Central Bank)
在本報(bào)告第二部分內(nèi)容詳細(xì)介紹了攻擊流程和篡改 MT900 報(bào)文的細(xì)節(jié),在這里不進(jìn)一 步占據(jù),具體內(nèi)容請(qǐng)參看:“二、孟加拉央行攻擊事件回顧”。
2015 年-越南先鋒銀行(Tien Phong Bank)
針對(duì)越南先鋒銀行的攻擊中,相關(guān)惡意代碼內(nèi)置了 8 家銀行的 SWIFT CODE,越南銀行 均在這些銀行中設(shè)有代理帳戶。目前看到的 Fake PDF Reader 樣本目的不是攻擊列表中的這 些銀行,而是用來(lái)刪除越南銀行與其他家銀行間的轉(zhuǎn)帳確認(rèn)(篡改 MT950 對(duì)帳單)。這樣銀 行的監(jiān)測(cè)系統(tǒng)就不會(huì)發(fā)現(xiàn)這種不當(dāng)交易了。 關(guān)于針對(duì)越南先鋒銀行的攻擊,可以參看我們之前發(fā)布的報(bào)告:《SWIFT 之殤——針對(duì) 越南先鋒銀行的黑客攻擊技術(shù)初探》。
2015 年-厄瓜多爾銀行(Banco del Austro)
據(jù)路透社報(bào)道,2015 年 1 月 12 號(hào),在一條來(lái)自厄瓜多爾 Banco del Austro(DBA)銀行系 統(tǒng)信息的指引下,位于舊金山的 Wells Forga 向香港的銀行賬戶進(jìn)行了轉(zhuǎn)賬。并且在接連 10 天內(nèi),至少有 12 筆的 BDA 銀行資金通過(guò) SWIFT 系統(tǒng)被轉(zhuǎn)走,總金額高達(dá) 1200 萬(wàn)美金。BDA已就該事件將 Wells Frago 向紐約法庭提起了訴訟,理由是 Wells Forgo 美國(guó)銀行本應(yīng)該將這 些交易標(biāo)記為可疑交易,然而從訴訟資料看,雙方銀行都相信這些資金是被匿名黑客盜走的。 另外,SWIFT 方面的負(fù)責(zé)人在案件被報(bào)道之前卻對(duì)此毫不知情。相關(guān)人士稱,SWIFT 確 實(shí)會(huì)核驗(yàn)系統(tǒng)發(fā)送信息中的密碼來(lái)確保信息來(lái)自銀行用戶的終端設(shè)備。但是一旦網(wǎng)絡(luò)盜竊者 獲取了密碼和證書,SWIFT 就無(wú)法判斷操作者是不是真正的賬戶持有人了。而黑客正式鉆了 這個(gè)空子,盜取了一名銀行雇員的 SWIFT 證書,金額盜走了巨額資金。
2013 年-索納莉銀行(Sonali Bank)
據(jù)路透社報(bào)道,2013 年孟加拉國(guó)的索納莉銀行(Sonali Bank)也發(fā)生了類似孟加拉央行 的攻擊事件,在索納莉事件中,攻擊者盜取了 25 萬(wàn)美金的銀行資金。銀行 IT 運(yùn)營(yíng)部的高級(jí) 官員稱,在索納莉銀行劫案中,黑客們?cè)谝慌_(tái)電腦上安裝 keylogger 來(lái)竊取其他系統(tǒng)的密碼, 然后使用 SWIFT 系統(tǒng)發(fā)送偽造的轉(zhuǎn)賬申請(qǐng)。
2) 相似的攻擊戰(zhàn)術(shù)
通過(guò)分析從 2013 年的索納莉到 2016 年的孟加拉國(guó)央行這 4 個(gè)攻擊銀行的事件,結(jié)合 上圖,不難看出相關(guān)攻擊事件之間有很多的相似性。 從攻擊戰(zhàn)術(shù)或攻擊流程進(jìn)行分析,其中主要環(huán)節(jié)是獲得 SWIFT、利用 SWIFT 發(fā)送轉(zhuǎn)賬指 令和最終清除證據(jù)掩蓋事實(shí)這三個(gè)部分。
第一,獲得目標(biāo)銀行 SWIFT 權(quán)限:首先需要獲得目標(biāo)銀行的 SWIFT 系統(tǒng)操作權(quán)限,索 納莉銀行和厄瓜多爾銀行從相關(guān)報(bào)道來(lái)看,均是通過(guò)網(wǎng)絡(luò)攻擊來(lái)獲得了相關(guān)權(quán)限。據(jù)有關(guān)報(bào) 道稱索納莉銀行 SWIFT 相關(guān)登錄帳號(hào)和密碼是被植入的惡意代碼所監(jiān)控竊取,而厄瓜多爾也 是類似登錄驗(yàn)證憑證被竊取,由此我們可以得到一個(gè)信息,就是攻擊者要獲得 SWIFT 操作權(quán) 限,并不需要進(jìn)行物理接觸,完全通過(guò)網(wǎng)絡(luò)即可完成。而目前尚未有報(bào)道明確指出孟加拉國(guó) 央行的 SWIFT 系統(tǒng)權(quán)限是通過(guò)網(wǎng)絡(luò)攻擊獲得,但相關(guān)調(diào)查孟加拉央行事件的研究人員表示應(yīng) 該是黑客利用網(wǎng)絡(luò)攻擊獲得了相關(guān)登錄憑證。而越南先鋒銀行本身沒(méi)有被攻擊,問(wèn)題出在其 第三方服務(wù)商(提供 SWIFT 服務(wù)),但目前不清楚是否是通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊獲得相關(guān) SWIFT 操作權(quán)限的,先鋒銀行之后表示要改為直接連接 SWIFT 系統(tǒng)。
第二,向其他銀行發(fā)送轉(zhuǎn)賬指令(代理帳戶):攻擊者在獲得 SWIFT 權(quán)限之后,最核心 的目的就是要利用 SWIFT 發(fā)送轉(zhuǎn)賬指令,我們推測(cè)應(yīng)該是 SWIFT MT 報(bào)文中第一類報(bào)文,如 MT103(單筆客戶匯款)。除索納莉銀行以外,我們發(fā)現(xiàn)攻擊者均向存在目標(biāo)銀行代理帳戶 的銀行發(fā)送轉(zhuǎn)賬指令,如美國(guó)國(guó)富銀行設(shè)有厄瓜多爾銀行的代理帳戶、大華銀行等其他 7 家銀行設(shè)有越南先鋒銀行的代理帳戶和紐約聯(lián)邦儲(chǔ)備銀行設(shè)有孟加拉國(guó)央行的代理帳戶。通 俗來(lái)講也就是孟加拉國(guó)央行等這幾個(gè)目標(biāo)銀行存在其他銀行上的錢被冒名轉(zhuǎn)走了。
第三,篡改 MT9XX 報(bào)文清除證據(jù):由于暫未捕獲到針對(duì)索納莉和厄瓜多爾銀行進(jìn)行攻 擊的惡意代碼,所以我們無(wú)法知道是否有該環(huán)節(jié)。我們主要來(lái)看越南先鋒銀行和孟加拉國(guó)央 行,首先攻擊者都是對(duì) MT9XX 報(bào)文進(jìn)行了劫持,在對(duì)越南先鋒銀行是劫持 MT950 對(duì)帳單, 在針對(duì)孟加拉國(guó)央行是劫持了 MT900 借記證實(shí),進(jìn)一步都是對(duì)相關(guān)報(bào)文進(jìn)行了篡改,目的 是刪除相關(guān)轉(zhuǎn)帳記錄,進(jìn)行平帳。有區(qū)別是孟加拉國(guó)央行是對(duì)相關(guān)報(bào)文篡改后直接發(fā)送給打 印機(jī),打印出來(lái),而越南先鋒銀行是對(duì) MT950 的電子版 PDF 進(jìn)行篡改后,然后打印機(jī)打印 篡改后的 PDF。攻擊者最終目的就是篡改報(bào)告,另外刪除其他一些數(shù)據(jù)信息,目的是抹去相 關(guān)證據(jù)線索。另外我們發(fā)現(xiàn)越南先鋒銀行和孟加拉國(guó)央行中攻擊者所使用的惡意代碼,從代 碼同源性上,都存在一個(gè)特殊的安全刪除函數(shù),這也更進(jìn)一步證明的這兩次攻擊事件并不是 孤立的,兩者之間必然有一定聯(lián)系。 總體而言,這類攻擊戰(zhàn)術(shù)就是針對(duì)具備 SWIFT 系統(tǒng)的銀行進(jìn)行攻擊,首先需要依托網(wǎng)絡(luò) 攻擊或其他手段獲得 SWIFT 權(quán)限,進(jìn)一步向其他銀行上的代理帳戶發(fā)送轉(zhuǎn)帳指令來(lái)達(dá)到金錢 竊取的目的,最終使用惡意代碼進(jìn)行相關(guān)證據(jù)清除掩蓋事實(shí)的過(guò)程。
3. 技術(shù):惡意代碼同源性分析
安全刪除函數(shù)
我們發(fā)現(xiàn)孟加拉國(guó)央行、越南先鋒銀行攻擊中使用的惡意代碼內(nèi)的安全刪除函數(shù)是復(fù)用 了相同的代碼,進(jìn)一步 Lazarus 組織在 2014 年針對(duì)索尼的攻擊中的惡意代碼和賽門鐵克安全 公司在近期發(fā)布的安全報(bào)告13中提到,針對(duì)東南亞金融業(yè)的有限目標(biāo)性攻擊中出現(xiàn)的 Backdoor.Fimlis 惡意代碼,都復(fù)用了同樣的代碼。 安全刪除函數(shù)有 2 個(gè)參數(shù):文件名和迭代次數(shù)。首先使用 5F 覆蓋文件的末尾字節(jié),然 后根據(jù) 6 個(gè)控制字節(jié)決定使用什么數(shù)據(jù)覆蓋原文件內(nèi)容。
四、 總結(jié)
1. 攻擊由一個(gè)組織或多個(gè)組織協(xié)同發(fā)起
從對(duì)相關(guān)攻擊事件的戰(zhàn)術(shù)層面和技術(shù)層面的深入分析,我們認(rèn)為近期曝光的這 4 起針對(duì) 銀行的攻擊事件并非孤立的,而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。
2. 攻擊組織極為熟悉目標(biāo)銀行的作業(yè)流程
如越南先鋒銀行中,從將惡意程序構(gòu)造偽裝成Foxit reader(福昕PDF閱讀器)到對(duì)MT950 對(duì)帳單 PDF 文件的解析和精確的篡改等攻擊手法,都反映出攻擊者對(duì)銀行內(nèi)部交易系統(tǒng)和 作業(yè)流程非常熟悉。攻擊者的攻擊意圖明確,而且攻擊者要如此了解和展開相關(guān)攻擊行動(dòng), 事前進(jìn)行了大量偵查情報(bào)收集的工作。
3. 與 Lazarus 組織(APT-C-26)存在關(guān)聯(lián)
針對(duì) SWIFT 攻擊事件中與 Lazarus 組織所使用的相關(guān)惡意代碼,我們從樣本代碼層面進(jìn) 行同源性分析,發(fā)現(xiàn)其中一個(gè)特殊的安全刪除函數(shù)基本是進(jìn)行了代碼復(fù)用。從這一點(diǎn)來(lái)看, 針對(duì)越南先鋒銀行和孟加拉國(guó)央行的攻擊應(yīng)該是與 Lazarus 組織有一定的聯(lián)系。 安全刪除函數(shù)這部分代碼能關(guān)聯(lián)到 Lazarus 組織曾今在 2013 年發(fā)動(dòng)的 darkseoul 攻擊行 動(dòng)和 2014 年針對(duì)索尼影視娛樂(lè)公司的攻擊行動(dòng),相關(guān)攻擊行動(dòng)的 IOC(MD5C&C 等)在當(dāng) 時(shí)已經(jīng)被安全機(jī)構(gòu)公開了,也可以理解為安全刪除函數(shù)這個(gè)本身特殊的代碼在當(dāng)時(shí)就已經(jīng)公 開了。也就是在此之后,比如 2015 年、2016 年非 Lazarus 組織的攻擊者,也可以輕松的獲 得安全刪除函數(shù)的代碼并在進(jìn)行開發(fā)其他惡意代碼的時(shí)候拿來(lái)使用。簡(jiǎn)而言之,如果我們依 靠這處安全刪除函數(shù),來(lái)判定某個(gè)惡意代碼是否屬于 Lazarus 組織,是不具備強(qiáng)關(guān)聯(lián)性的。 正如我們之前發(fā)布的洋蔥狗報(bào)告(APT-C-03) 14 “第 5 章 ICEFOG‘重生’:誤導(dǎo)?嫁禍?” 中提到的觀點(diǎn),我們不排除這有可能是其他組織刻意加入的干擾項(xiàng)。
4. 銀行業(yè)本身暴露出諸多安全問(wèn)題
近期曝光的 4 起針對(duì)銀行的攻擊事件中,其中 2013 年的索納莉銀行、2015 厄瓜多爾銀 行確定是由網(wǎng)絡(luò)進(jìn)行攻擊獲得相關(guān)轉(zhuǎn)賬權(quán)限,另外越南先鋒銀行和孟加拉國(guó)央行也是自身環(huán) 節(jié)發(fā)生了問(wèn)題,導(dǎo)致攻擊者具備發(fā)送 SWIFT 轉(zhuǎn)賬指令的權(quán)限。 這明顯暴露出銀行自身的安全防護(hù)薄弱,另外攻擊者通過(guò)網(wǎng)絡(luò)攻擊就可以獲得 SWIFT 權(quán)限,并加以操作,以及攻擊者對(duì) SWIFT 的 Alliance Access 客戶端軟件的數(shù)據(jù)有效性驗(yàn)證指 令,繞過(guò)相關(guān)驗(yàn)證等等,這些都暴露出 SWIFT 本身也存在一定問(wèn)題,如是否在普通的帳號(hào) 密碼驗(yàn)證機(jī)制基礎(chǔ)上,可以加一些需要依賴物理設(shè)備或環(huán)境才能進(jìn)行驗(yàn)證的步驟,這樣能大 大隔離純粹來(lái)自網(wǎng)絡(luò)的攻擊。
*企業(yè)賬號(hào):360安全衛(wèi)士,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)