揭密巴西Banrisul银行网站遭遇5小时劫持的原因
2016年10月22日13时,某网络黑客团伙成功接管巴西一家银行所有业务长达5小时,截获了当时所有的金融交易数据。微步在线根据卡巴斯基公开的相关信息检索发现,此次攻击的受害者为巴西Banrisul银行,该行成立于1928年,在巴西、美国、阿根廷和大开曼岛等地拥有分行500家,客户约500万,总资产超过250亿美元。
微步在线分析此次事件的攻击流程如下:
· 攻击者于2016年年中开始对Banrisul银行网站进行全面调查分析,掌握网站体系架构,下载网站源码。
· 利用漏洞或钓鱼邮件方式入侵Banrisul银行的DNS提供商Registro.br,控制了Banrisul的DNS账户。
· 2016年10月22日5时30分,在Let’s Encrypt网站注册免费SSL证书,启用Google Cloud上的仿冒网站。
· 2016年10月22日13时,修改银行网站DNS解析记录,将访问银行在线服务的用户定向到仿冒网站,诱导输入信用卡信息。
· 控制并关闭银行的企业邮箱,以防止银行通知受害者和DNS供应商。
· 诱导用户下载伪装成Trusteer的恶意软件压缩包(Truste_Install_EF69EC50F11D77D9.zip)并执行其中的Java文件(Truste_Install_EF69EC50F11D77D9.jar)。
· Java文件的执行后会从远端服务器(191.101.232.182)下载一个包含后门程序的压缩包(windows.zip),执行其中的Avenger程序用于清理系统现有杀毒软件,并将后门程序(windows.dll)注册为计划任务。
· windows.dll后门程序具备获取系统信息、监控桌面窗口、获取进程列表、远程执行、文件上传下载、命令等功能,会不断尝试访问谷歌协作平台(sites.google.com)的随机地址和C&C服务器(192.99.111.91)的15111端口。
微步在线对国内20余家主流银行分析发现,大多数单位使用了内部邮箱用于域名管理,且域名服务器也为内部所有,自身安全措施较为完善。而涉及的域名服务商则包括中国万网、新网、中科三方、广东互易网络、厦门三五互联等10多家,其中多数公司近年来均被爆出过SQL注入、XSS等高危漏洞,可能泄露用户敏感细信息,合作伙伴的安全问题同样需要引起有关单位的高度重视。
………………………………………检测措施………………………………………
以下两种方式,任意一种即可:
· 网络流量:
建议直接部署微步在线威胁情报平台进行检测,或者使用附录的IOC结合日志检测:
如,通过防火墙检查与IP 191.101.232.182的连接
· 主机检测:
查看以下目录或者目录是否存在:
%appdata%MicrosoftWindows.bat
%appdata%MicrosoftWindows.exe
%appdata%MicrosoftWindows.txt
%appdata%Microsoft.zip
………………………………………行动建议………………………………………
· 利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时响应。
· 启用DNS等基础服务供应商提供的安全服务,如双因子认证,以加强内部基础设施的安全策略建设。
附录
C&C
http://191.101.232.182/BR/Windows.zip
http://191.101.232.182/TM/Windows.zip
192.99.111.91
木马hash
2f9fe6db7279da14576cc5cc9e92bffe
1444ff1fdb9a5cf273d915612523d77d
4aed960aebd6f38fdb1c7ee79dc79fbc
98d689250a373b5667c3458ee8df06a8
2bf96bceece3e565f6cd6b03cd3c9a33
723e8da040c24cd60901ebf4d4cc13a5
7e32de2a14db2b04bed8625dcf560fdd
f032731de7d3f584cda4e48451e0b134
3f272fb8e3cd3b2cb288580b63306361
7650b4834dc8d2ed8f546f7178af3140
248954276030a90f5856c03141bec23bce7ad1601414408134217adf98f02051
b86f15850ad307f4eb303acc11930f91e6befbcd2da73b5f17034a3c9f88fee9
7e9ada8f5f5aaaae7ecddd66f1352f9ede223c3ab5b8f2cfaa0657bc8fa94e1d
5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f
030a7ddf668c9049b6609af0a3f0523f57f7ab07fd6cbbcbed0b37ae8067f5c5
9b9cb6a6ddbdd67106e8a2f055563059b7dd14ff31ea336e20f00b1969da2976
fc0b440ef53b6814a0db53c4ca46e69b5d5651da57175342c33e2ec760c6de79
e4bc73ad9c7c33a714ecfe47c7a89fb4ead04a1987d90bf3dcb8531385502e36
a2b8e28882812ed7f6b1a674d373f038ffaffcb0ffc26eeff01cf1dc63cd1f8a
325f0adf4e45318ce312d2cb077b6de2dd170be6b3d4efe8c82e9a96faf13e96
原文发布时间为:2017年4月25日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
揭密巴西Banrisul银行网站遭遇5小时劫持的原因相关推荐
- 真实案例:网站遭遇DOS攻击
网站遭遇DOS攻击 一.事件背景 长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停,越是节假日,越可能出大问题,下面要讲述的就是一起遭受DOS攻击的案例. 春节长假刚过完,小李公 ...
- python计算利率贷款_用Python获取银行网站上的存贷款利率表
项目背景 最近在做一个利率市场化咨询的项目,主要是协助银行搭建定价体系,提供定价策略,在充分考虑产品差异.顾客需求差异.时间差异.地点差异等因素基础上制定不同的存贷款定价方法. 在制定定价策略之前, ...
- 时代互联报道:骗子盯上网银用户,认清银行网站域名,谨防上当
随着网上购物的兴起和网上支付技术的进一步发展,网上银行快捷方便的操作也越来越多的被人们喜爱,由此带来的网上银行诈骗问题也不断的出现.网银诈骗的手段越来越多样化,作案方式也越来越隐蔽,让人们防不胜防.时 ...
- 中移动铁腕治理 免费WAP网站遭遇灭顶之灾
中移动"铁腕"治理 免费WAP网站遭遇灭顶之灾 "我的网站给10万元就卖!"近日,一位经营了三年的免费WAP网站站长告诉<第一财经日报>,现在受中国 ...
- 网站降权排名下降的原因及解决办法
一个网站的关键词排名突然大幅度下降从搜索引擎来得流量减少(国内网站主要是百度搜索引擎)碰到这种情况的站长该如何去分析,从哪些方面去分析呢?分析出来原因之后我们应该怎么去解决这个问题,具体多久能恢复?西 ...
- 网站排名和权重骤降的原因是什么?又该如何处理?
很多时候,网站的排名和权重会发生突然骤降的现象,这不仅让优化人员不知所措,同时还要面临用户的流失,对网站的影响非常大.那么网站排名和权重骤降的原因是什么呢?又该如何进行处理呢?接下来,我们就一起来看一 ...
- linux virtualhost不能正常运行,造成网站无法正常运行的4个原因!
原标题:造成网站无法正常运行的4个原因! 同虚拟主机产品对网站开发环境要求不同,如果两者不兼容,网站自然无法正常运行,这也是最常见的原因之一. 因此,用户需设计好自己网站的开发环境,再去选择匹配的空间 ...
- 大中型网站使用图片域名的必要性原因
2019独角兽企业重金招聘Python工程师标准>>> 大中型网站使用图片域名的必要性原因 2012-12-15 12:16:24 | 247次阅读 | 评论:0 条 | jom 如 ...
- php无法访问_php网站无法访问可能是什么原因
php网站无法访问的原因可能是:1.php版本过低,如[require php>5.3.0],此时更换php到更高版本即可:2.数据库错误,此时需要检验数据库账号和用户名是否正确:3.网页的UR ...
最新文章
- python list find_一篇文章带你了解Python爬虫常用选择器
- ldap添加自定义字段
- 全球多媒体视频内容保护最佳实践
- 聊聊高并发(五)理解缓存一致性协议以及对并发编程的影响
- 网络安全分析和公有云使用的安全性
- 阿里巴巴2014研发project师实习生面试经历
- 云原生安全模型与实践
- 如何使用融云地图,文件等插件--融云 Android SDK 2.8.0+ Extension 开发文档
- 图片在mysql中的储存_如何在MySQL中直接储存图片
- onlyoffice开发java_OnlyOffice功能及演示
- wps表格l制作甘特图_如何在表格中制作甘特图(横道图)?
- c++病毒代码(附源码)
- 10个可以为你的网页设计提供创造灵感的设计资源网站
- 2013 中国15大云平台
- 深入理解Java虚拟机 4.JVM垃圾回收机制详解
- excel两个指标相关性分析_用Excel做相关性分析方法
- 求π的值C++--递归求阶乘、浮点数精度控制技巧
- img服务器上的图片不显示不出来,img标签使用绝对路径无法显示图片
- Pycharm 自制翻译扩展
- Springboot下RedisTemplate的两种序列化方式
热门文章
- mysql导入表空间太慢_Oracle 11g统计表空间使用率很慢
- 今天有个同事L发了一个“称象”的帖子,不过更搞笑的是另一个同事Z回了一个经典的解答。...
- mdx格式mysql_Saiku_学习_02_Schema Workbench 开发mdx和模式文件
- linux系统自动获取ip地址,Linux系统下设置静态IP或自动获取动态IP的简单方法
- 【听】特斯拉传,科学超人传奇
- 50道必备的Python面试题 (建议点赞)
- 《 Kubebuilder v2 使用指南 》-P6-CRD Admission Webhook
- 如何使用内存法实现图片的浮雕出来_ps修图改字:制作逼真皮革艺术文字图片的PS教程...
- NIPS2022上的图神经网络相关论文总结
- 基于51单片机十字路口交通信号灯(启动按键+绿灯同亮报警)