金融業預警| 黑客如何大搖大擺把錢從銀行劃出去?

雷鋒網 於 29/10/2016 發表 收藏文章
引用某年某月某日,幾名蒙面大漢衝進一家銀行,一聲槍聲響起。其中,一名劫匪對銀行櫃員大喊:“把所有錢都交出來!”

銀行工作人員一副生無可戀的表情:“先生,不好意思,所有的錢剛才被一個黑客轉走了。”

這可以是一個故事,也可能是現實。

今年2月,第一個利用SWIFT(環球銀行金融電信協會)系統進行網絡金融盜竊的攻擊事件被發現,攻擊者成功從孟加拉國央行盜取8100萬美元。今年5月,兩個新的攻擊事件浮出水面,最終兩個事件都被證實發生在2015年底,在其中一起事件彙總,黑客設法從厄爾多爾銀行成功盜竊了1200萬美元,另一起事件中,黑客試圖從越南先鋒尹航盜竊136萬美元,但最終沒有成功。

被發現的這種攻擊事件遵循相同的模式,黑客攻破了銀行的內部網絡,並搜索SWIFT系統相關信息和銀行職員的操作憑證,然後試圖將錢從銀行的賬户進行轉移。

SWIFT已經意識到這個問題的嚴重性,並強烈建議銀行升級信息系統。

SWIFT是國際銀行同業間的國際合作組織,目前全球大多數國家大多數銀行已使用SWIFT系統,我國有涉外業務的大型銀行多數也使用SWIFT系統。

SWIFT以安全、可靠、快捷、標準化、自動化的通訊業務著稱,為什麼突然它就變得不安全了?
在綠盟科技Security+2016金融信息安全峰會上,雷鋒網(公眾號:雷鋒網)對綠盟科技金融事業部技術總監徐特就這一話題進行了專訪。

徐特發現,針對銀行業的APT攻擊越來越常見了,而利用SWIFT攻擊孟加拉國央行的案例就是一起典型的APT攻擊。

引用所謂APT攻擊,即高級持續性威脅,利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式,APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。

針對孟加拉國央行的詳細攻擊流程如圖所示:


其實SWIFT已經算是銀行“內網”了。徐特發現,這對針對“內網”的攻擊越來越多。

但是,這個“內網”一直是我們熟知的內網嗎?

引用以某家銀行為例,如果覆蓋面積達到幾百台、幾千台,甚至幾十萬台主機,囊括全國各地網點,員工幾十萬人,如果都使用銀行內網,這種情況下,銀行的“內網”已經不算內網了,何況還有其他技術供應商可能接觸到這個網絡,雖然是外圍權限,也讓這個網絡變得十分不安全。

那麼,針對一家銀行內網的APT攻擊如何發生?徐特認為,攻擊者有很多渠道可以“潛入”。
徐特舉了個例子。

之前有一座城,守衞城池的方式是築起高牆厚壁,再做得多一些的就是構建“甕城”——有多重防線,但這種安全防守過於依賴邊界,如果通過狗洞、地道等進入,很難被發現。

就像現在銀行業的“安全防護”,構築了“城牆”捍衞,一般的蠕蟲、病毒、威脅等其實無法造成強大的攻擊,現在遭遇的最大的威脅是“一個一個高水平的攻擊者”,即安全威脅在逐漸升級,從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅。

以外圍系統 、測試環境的機器作為跳板,攻擊者可以用這些“主流”方式攻擊——

引用1.發送各類釣魚郵件,獲取相關操作人員的賬號和密碼;

2.通過網絡嗅探、漏洞掃描等截獲數據包,由於有些系統的密碼使用明文傳輸,可以直接獲取帳號,如OA系統,也可以看到一家銀行的組織結構,鎖定目標人物,進行定向滲透;

3.撞庫,通過社工庫等獲取關鍵人員的家庭住址、外網郵箱等;

4.針對業務系統的攻擊,繞過登錄系統,直接獲取操作權限。

惡意代碼自動化的行為變成人為行為,攻擊變得更“聰明”後,要想構建安全,要注重“塔防”——和玩遊戲打怪一樣,預測不同怪的進擊路線,在可能的攻擊路線的關鍵節點佈置不同的守衞和攻擊工具,策略性地進行防衞和攻擊。

目前很多銀行都在關鍵點上有所部署,依然有幾個嚴重問題:

引用
  • 很多安全設備並沒有進行很好的使用,因為並不具備高技能人才進行操作;
  • 對於可能的攻擊路徑,沒有形成網絡式防護;
  • 防護難以跑過攻擊,加入黑客和安全專家同時發現了漏洞,黑客的步驟是:發現目標——編寫惡意代碼,製作攻擊工具——實施攻擊,這個過程只需要幾小時到幾天;但安全專家需要研究漏洞原理,設計安全策略——根據盒子特性,設計升級包——分發升級包,升級盒子功能——正確應應安全策略,實施安全防護,有些漏洞的處理時間以“年”計;
  • 日誌繁雜亂,極容易誤報、漏報、人為忽視。

還有一個問題是,銀行業對此的策略是“防護、監測、響應”,但是,對於防護投入的比重過高,輕視了監測和響應。

這也是為什麼,在2015年底,綠盟科技協助客户發現了一起針對證券業的可怕的APT攻擊。

他們在多家證券基金行業客户現場發現了一個活躍的木馬,這一木馬已經活躍10年之久,感染規模還不小,確認感染主機數百台,行業內數據被大量竊取。

徐特建議,從單層防護到立體防護,監測和響應要更平衡,好的組織結構安全構建應同時實現保護、監測、響應、反擊、協作、聯網。

具體應該進行哪些部署?金融業安全是否還會面臨新的威脅和挑戰?雷鋒網將繼續跟進,進行後續報道。



資料來源:雷鋒網
作者/編輯:李勤

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→