攻擊銀行內網,只要三步
你有懷疑過進入銀行大樓的快遞員或者新面孔的求職者可能就是即將實施破壞行為的間諜嗎?
當你覺得此類故事只會在電影裡出現的時候,卡巴斯基的研究結果將會改變你的想法。
2017~2018年間,卡巴斯基實驗室的專家們,受邀研究了一系列的網路盜竊事件。
這些網路盜竊事件有一個共同的特點:有一個直連公司本地網路的未知裝置。有時它出現在中央辦公室、有時出現在位於另一個國家或地區的辦事處。
據悉,東歐至少有 8 家銀行成為了這種襲擊的目標(統稱DarkVishnya),造成了數千萬美元的損失。研究顯示,攻擊分為以下階段:
階段一:網路犯罪分子潛入大樓,植入隱藏裝置
他們常常以快遞員、求職者等為幌子,帶著裝置成功潛入攻擊目標大樓。在可能的情況下,裝置會被隱藏或混入周圍環境,以免引起懷疑。如下圖所示的帶插座的多媒體桌子,就很適合植入隱蔽的裝置。
根據網路犯罪分子的能力和個人喜好,DarkVishnya 攻擊中使用的裝置也會有所不同。在卡巴斯基實驗室研究的案例中,通常有如下三種:
上網本或廉價膝上型電腦;
樹莓派計算機;
為學習計算機程式設計教育設計的一種微型電腦。
只有信用卡大小的微型電腦,其系統基於Linux。自問世以來,受眾多計算機發燒友和創客的追捧,曾經一“派”難求。別看其外表“嬌小”,內“心”卻很強大,視訊、音訊等功能通通皆有,可謂是“麻雀雖小,五臟俱全”。
Bash Bunny -- 一款用於執行 USB 攻擊的特殊工具。
Bash Bunny號稱世界上最先進的USB攻擊平臺,它集網路卡、鍵盤、串列埠、快閃記憶體於一體,可以說是居家旅行必備神器。
在本地網路內,該裝置會顯示為“未知計算機、外部快閃記憶體驅動器、甚至鍵盤”。然後再通過內建或 USB 連線的 GPRS / 3G / LTE 調變解調器,遠端訪問被植入的裝置。結合 Bash Bunny 在外形尺寸上與 USB 快閃記憶體盤差不多的事實,這使得安全人員在搜尋時,難以決定從何處先下手。
階段二:遠端連線裝置,掃描本地網路
攻擊者通過遠端連線,來訪問共享資料夾、Web伺服器和其它開放式資源。此舉旨在獲取有關網路的資訊,尤其是業務相關的伺服器和工作站。與此同時,攻擊者試圖暴力破解或嗅探這些機器的登入憑證。
為克服防火牆的限制,它們使用本地 TCP 伺服器來植入 shellcode。若防火牆阻止其從一個網段跳躍到另一個網段、但允許反向連線,則攻擊者會藉助其它可被利用的資源,來構建所需的通訊隧道。
階段三:保留訪問許可權,建立惡意服務
登入目標系統,使用遠端訪問軟體來保留訪問許可權,接著在受感染的計算機上啟用msfvenom建立的惡意服務。因為黑客利用了無檔案攻擊(Fileless Attacks)和PowerShell,所以能夠繞過白名單技術、或者域策略。即便遇到了無法繞過的白名單,或者PowerShell被目標計算機阻止,網路犯罪分子亦可藉助impacket、winecesvc.exe或psexec.exe等可執行檔案,發動遠端攻擊。
從卡巴斯基展示的攻擊階段來看,攻擊者將黑客技術和社會工程學結合在一起實施攻擊。事實上真正的攻擊並不是將裝置連結到本地的時候,而是從成功混入大門的那一刻就已經開始了攻擊。
APT攻擊
APT,即advanced persistent threat的縮寫,高階長期威脅。是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。
絕大多數的APT針對政府機構,其中所有調查情節高度保密,並且實際造成的經濟影響難以估計。
然而,今天,APT已將觸角伸入商業領域,更準確的說就是銀行業。此次DarkVishnyaAPT攻擊造成了數千萬美元損失,這種銀行網路盜竊行為的持續週期平均為兩到四個月,從感染電腦的第一天開始算,一直到最終取現為止。
有哪些惡意軟體?
卡巴斯基實驗室曝光了如下惡意軟體:
not-a-virus.RemoteAdmin.Win32.DameWare
MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg
HEUR:Trojan.Multi.Powecod
HEUR:Trojan.Win32.Betabanker.gen
not-a-virus:RemoteAdmin.Win64.WinExe
Trojan.Win32.Powershell
PDM:Trojan.Win32.CmdServ
Trojan.Win32.Agent.smbe
HEUR:Trojan.Multi.Powesta.b
HEUR:Trojan.Multi.Runner.j
not-a-virus.RemoteAdmin.Win32.PsExec
Shellcode監聽埠:
tcp://0.0.0.0:5190
tcp://0.0.0.0:7900
Shellcode 連結點:
tcp://10.**.*.***:4444
tcp://10.**.*.***:4445
tcp://10.**.*.***:31337
Shellcode管道:
\\.\xport
\\.\s-pipe
參考來源:
- cnbeta
- kaspersky
更多資訊:
4、Gmail推銷郵件過濾器疑似出現故障:大量培根郵件湧入使用者主郵箱
相關文章
- beef區域網內模擬攻擊
- 內網威脅感知與攻擊溯源系統內網
- 網路攻擊
- 直播行業如何防禦網路攻擊?行業
- 一次攻擊內網rmi服務的深思內網
- 攻擊面管理預防網路攻擊原理?
- 網站被攻擊總是被百度收錄灰色行業內容網站行業
- 烏克蘭銀行和軍事機構遭受了DDoS攻擊
- 醫療行業如何應對網路攻擊?行業
- 如何知道是否有人正在進行網路攻擊
- DDoS攻擊是什麼?是如何進行攻擊的?
- 勒索家族新成員BlackCocaine攻擊印度銀行,尚未得知感染媒介AI
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- 屢遭CC攻擊,網際網路行業如何應對?行業
- 網路釣魚攻擊
- 網路攻擊泛談
- 網站如何防止攻擊網站
- 汽車經銷行業如何免受網路攻擊行業
- 什麼是網路攻擊?常見的網路攻擊手段有哪些?
- 網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源網站
- 網站被劫持攻擊以及流量攻擊如何解決網站
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 利用JSONP進行水坑攻擊JSON
- 黑客通過VPN攻擊知名防毒工具,破壞內部網路黑客防毒
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- 什麼是CC攻擊?CC攻擊型別【網路安全教程】型別
- 中國工商銀行遭勒索軟體攻擊,金融服務系統中斷
- 加拿大銀行研究表明:對高雜湊率的區塊鏈網路進行雙重支付攻擊“不切實際”...區塊鏈
- 降低網路攻擊風險
- [計算機網路]網路攻擊計算機網路
- 什麼是DDoS攻擊?哪些行業最需要預防DDoS攻擊?行業
- 年度網路攻擊大調查:SSH埠最易受網路攻擊,HTTPS其次!HTTP
- CC攻擊原理是什麼?網站被CC攻擊如何防禦?網站
- IJCAI 2019 提前看 | 神經網路後門攻擊、對抗攻擊AI神經網路
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 什麼是CC攻擊?網站被CC攻擊該如何防禦?網站
- 銀行內網培訓如何選擇伺服器?內網伺服器
- WordPress 外掛 bug 允許攻擊者遠端重置網站內容網站