2月份孟加拉央行被黑客通过SWIFT系统转走了8100万。前段时间国外的BAE、McAfee、Symantec、趋势科技,国内的360、malwarebenchmark团队、白泽安全团队都对攻击中用到的恶意软件及过程做过很详细的分析了。由于案情没有公开,所以推敲下来很多细节其实还是有令人不解之处。这里根据前人的分析以及收集到的信息,试着就孟加拉银行劫案里出现的问题,从防守方来看还可以做些什么加强。
隔离
现在银行最开始是如何被攻破的还没有一个明确的公开说法。到底是内鬼?还是有些员工因为钓鱼邮件而导致电脑被植入了恶意软件?但是最被诟病的是孟加拉央行只使用了一个缺少管理功能的交换机把负责转账SWIFT设备房间的网络和银行的其他网络连在一起。
实时的分析
据说黑客当时第一次提交35笔的转账缺少了correspondent banks的名字(是进行下一步支付环节的必要字段)所以没有成功,随后又重新提了一次,结果有30笔被拒绝了,有5笔通过了。而在被劫之前的8个月里面,孟加拉央行只是向纽约银行发出了285笔交易,也就是平均每个工作日少于两笔。而黑客的转账突然来了35笔,而且都是对个人的转账,而不是对机构或者组织的转账,却并没有引起注意。而这30多笔触发了纽约银行检查的原因是其中一个收款账户的名字刚好是一个美国制裁伊朗的石油邮轮和运输公司的名字,在经济制裁的审查列表里面,所以触发了纽约银行去检查。正因为这个问题,外界质疑信用卡尚且有实时的风险分析告警。为何银行之间这么大额的转账却没有这样实时分析措施。
沟通机制
众所周知这次黑客攻击选择了一个很巧妙的时间点,就是2月4日(周四)晚上8:30pm-2月5日(周五)4:00am之间。而周五正好是孟加拉的周末放假的时候,纽约银行曾经把5笔符合转账格式要求的转账发过信息咨询孟加拉央行。但是孟加拉正在周末中。而周五孟加拉央行员工到银行后发现打印机没有把对账单打印出来,也没有非常重视立即把它修复。而等到在2月6日(周六)12:30 p.m终于修复好被黑客动过手脚的SWIFT系统,重新把SWIFT的报文打印出来,才看到伪造的转账和纽约银行的查询信息的时候,纽约银行又落在非工作时间段里面。虽然报道说孟加拉央行已经立即尝试通过email和传真去联系纽约银行取消那些可疑的交易。但是实际上,这个email和传真都是孟加拉银行通过纽约银行的官方网站上才找到的,而这些官方网站留的联系方式都只会在工作日的上班时间段内会有人留意到。所以纽约银行和孟加拉央行除了通过SWIFT系统来互发消息,就没有第二个正式的通讯渠道了。事后纽约银行已经为全球250账户持有者(大部分是全球各地的央行)开设了一个24小时的热线处理这种紧急电话。
程序监控
一如之前安全公司的分析,案件中很重要的一环是SWIFT系统的一些文件/程序被修改了。包括修改数据库相关的liboradb.dll(两个字节)使得认证的逻辑被修改,从而黑客通过恶意软件可以查询SWIFT系统内置的oracle数据库,删除特定的转账记录。还有负责打印对账单的打印程序nroff.exe,使得没有及时打印出对账报文。
针对这些攻击特点,一些业界安全厂商例如CARBON BLACK(以前的BIT9)就提出来可以实现这种终端安全的防护,包括监视新增的服务、可执行文件,进程的读写,内存被注入和篡改,网络连接等等。
例如直接通过内存修改程序修改记事本的内容时就会触发告警。
后台的分析可以监视一个进程启动另外一个进程的整个来龙去脉。例如从浏览器到java到cmd到powershell再启动恶意程序的过程,监视进程外联的情况等等。
最后附上一个路透社制作的视频,从非技术角度描述了整个事件的主要经过,包括资金的流向,黑客的几个关键的操作步骤等。但事实上整个网络劫案事件细节看下来还是有很多疑点都没有揭开。欢迎私信聊聊细节和防护的方法。
