臭名昭著的黑客 Phineas Phisher 宣稱,2016 年對開曼國民銀行(馬恩島)的攻擊中凈賺數十萬英鎊。我們不妨來看看他的攻擊手法,分析為什么值得引起警惕。Phineas Phisher 在題為《如何打劫一家銀行》的宣言中稱,劫掠一家銀行比你想象的要容易,尤其是你不關心要劫哪家銀行的時候。Phineas Phisher 泄露的普華永道事件響應報告證實了他的聲明。該報告描述了被劫銀行開曼國民銀行(馬恩島)有限公司 (CNBIOM),及其姐妹公司開曼國民信托(馬恩島)有限公司 (CNTIOM) 被入侵管理層的事實。
普華永道拒絕評論開曼國民銀行事件,亦拒絕對欺詐交易的進展進行披露。在新聞發布中,開曼國民銀行承認了攻擊,宣稱 “此時并無證據證明與 CNBIOM 或 CNTIOM 客戶,或與開曼國民銀行相關的金融失竊或欺詐。” 該新聞發布并未提及銀行自身所受金融損失。
仔細審查 Phineas Phisher 所用方法可以洞悉我們金融基礎設施面對攻擊的脆弱性,昭示稍微有點技術的個人或團伙如何在劫掠銀行后全身而退。
Phineas Phisher 之前曾宣稱為著名網絡傭兵團 Gamma Group 和 Hacking Team 入侵事件負責,自稱是以反資本主義、反帝制和反監視為目的的個人。有人懷疑 Phineas Phisher 是國家支持的黑客組織,但我們無從知曉。2016 銀行劫案中所用黑客工具都是 PowerShell 和 Mimikatz 等現成的滲透測試工具。這意味著如果 Phineas Phisher 能做到,那么其他任何稍微懂點兒技術的攻擊者也能做到。這就使得開曼國民攻擊成為了網絡防護不良的案例研究或者取決于你的視角,如何劫掠銀行的案例研究。
銀行劫案剖析。
Phineas Phisher 在其(西班牙語寫就的)《如何劫掠一家銀行》的指南中寫道:老話說,給他一個漏洞,他能有一天的訪問權,教他如何網絡釣魚,他余生都能獲得訪問權。普華永道的事件響應報告證實該銀行確實遭遇了網絡釣魚。根據普華永道的報告,該銀行劫犯在 2015 年 8 月,以虛假電子郵件賬戶“csdeployment@swift.com”,從搶注的域名“cncim .com”,向一名銀行員工發送了主題為 “價格變更” 的網絡釣魚電子郵件。該域名的注冊時間是 2015 年 7 月 27 日。普華永道報告稱,該域名很有可能就是專門為了此次攻擊而特別注冊的。
還有別人在同一時期隨機針對同一家銀行就很有趣了。這說明銀行黑客事件頗為廣泛。
普華永道的報告表明,攻擊所用的網絡釣魚漏洞利用程序就是很常見的犯罪軟件。
對網絡釣魚電子郵件隨附惡意軟件的分析表明,這就是黑客網上可購的 Adwind3 惡意軟件。鑒于所涉時間框架,我們無法確定該惡意軟件是否與近期的事件直接相關。但該惡意電子郵件似乎是為入侵 CNBT 開曼國民銀行和信托公司而專門設計的。
研究人員表示,本次攻擊的附件攻擊載荷名為 “1_Price_Updates_098123876_docs.jar”,當那位 CNBT 的雇員點擊此附件時,其工作站就遭到了感染,銀行劫犯在此銀行網絡成功俘獲一個立足點。2016 年 CheckPoint 對 Adwind3 RAT 的研究報告稱,這是一個完全用 Java 實現的后門,因此是跨平臺的。這是大規模垃圾郵件攻擊和全球金融機構針對性攻擊都常用的流行工具。其所有版本 (Frutas、Adwind、AlienSpy、UNRECOM、JSocket) 均可通過官網注冊加以購買——所謂惡意軟件即服務概念。
但 Phineas Phisher 告訴媒體稱,網絡釣魚者另有其人。
網絡釣魚的不是我。還有別人在同一時期隨機針對同一家銀行就很有趣了。這說明銀行黑客很是廣泛。我是通過攻擊 Hacking Team 時用的 Sonicwall SSL/VPN 漏洞利用進去的。
Phineas Phisher 在給媒體的郵件中承認,使用了 Empire 和 Meterpreter,但沒用 Adwind3。
網絡釣魚嘗試用到了 Adwind3。但我用的是 Metasploit 框架。我用了 Empire [RAT]。我沒用 Adwind,而且是以 PowerShell Empire 維持駐留的。
當銀行在 2016 年 1 月發現未授權 SWIFT 交易時,他們引入了普華永道來做事件響應。普華永道發現了 Phineas Phisher 的 shell,清理了被感染的服務器和工作站,安裝了他們的專有網絡監視解決方案 SonarShock,以分析該銀行的網絡,持續監視惡意活動指征。那么 Phineas Phisher 到底是怎么獲取到那份事件響應報告的呢?Phineas Phisher 寫道:普華永道開始調查此黑客事件的時候,他們發現了我使用 Empire 和 Meterpreter 的痕跡,清理了這些計算機并封鎖了這些 IP,但他們沒有發現我的備份訪問。就在普華永道開始監視網絡的時候,該銀行劫犯低調了一陣。我啟動了一次 Mimikatz 以獲取新密碼,此后我就可以通過讀取他們 Outlook Web 電子郵件來跟進調查了。
Mimikatz 可不是什么高精尖的技術。這并不是一起復雜攻擊的事實,無疑會給銀行敲響警鐘,也會激勵其他銀行劫犯。
