概述

2016年2月孟加拉國(guó)央行被黑客攻擊導(dǎo)致8100萬(wàn)美元被竊取的事件被曝光后，如越南先鋒銀行、厄瓜多爾銀行等，針對(duì)銀行SWIFT系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開。在相關(guān)事件曝光后，我們立即對(duì)相關(guān)攻擊事件的展示溯源分析，就越南先鋒銀行相關(guān)攻擊樣本，我們形成了技術(shù)報(bào)告：《SWIFT之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》。

在分析孟加拉國(guó)央行和越南先鋒銀行攻擊事件期間，我們發(fā)現(xiàn)近期曝光的這4起針對(duì)銀行的攻擊事件并非孤立的，而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。另外通過(guò)對(duì)惡意代碼同源性分析，我們可以確定本次針對(duì)孟加拉國(guó)央行和越南先鋒銀行的相關(guān)惡意代碼與Lazarus組織（APT-C-26）有關(guān)聯(lián)，但我們不確定幕后的攻擊組織是Lazarus組織（APT-C-26）。

另外攻擊組織對(duì)目標(biāo)銀行作業(yè)流程極為熟悉，也就并非短期內(nèi)所能達(dá)到的，我們推測(cè)在偵查跟蹤環(huán)節(jié)，攻擊者應(yīng)該針對(duì)目標(biāo)進(jìn)行了長(zhǎng)時(shí)間且非常專注的持續(xù)性分析。

在對(duì)相關(guān)攻擊事件的分析和剖析過(guò)程中，也暴露出諸多銀行等金融行業(yè)本身的安全問(wèn)題。如這一系列攻擊事件要想達(dá)到金錢竊取，前提就需要獲得銀行本身SWIFT操作權(quán)限，而要獲得相關(guān)權(quán)限則首先需要將銀行自身網(wǎng)絡(luò)攻陷。

近年來(lái)，針對(duì)銀行、證券等金融行業(yè)的APT攻擊不斷出現(xiàn)，盡管目前披露的還只是以境外銀行業(yè)發(fā)生的安全事件為主，但是網(wǎng)絡(luò)攻擊本就是跨國(guó)界的，這對(duì)于國(guó)內(nèi)銀行業(yè)的安全防護(hù)也敲響了警鐘。在過(guò)去的安全實(shí)踐中，我們不止一次發(fā)現(xiàn)了國(guó)內(nèi)金融行業(yè)曾遭受到了APT攻擊，安全態(tài)勢(shì)并不是天下太平；再結(jié)合之前安天移動(dòng)發(fā)布的《針對(duì)移動(dòng)銀行和金融支付的持續(xù)黑產(chǎn)行動(dòng)披露——DarkMobileBank跟蹤分析報(bào)告》中所披露的地下黑產(chǎn)針對(duì)金融行業(yè)最終用戶的攻擊現(xiàn)狀，我們確實(shí)有必要 重新審視國(guó)內(nèi)金融行業(yè)所面臨的安全風(fēng)險(xiǎn)，以及在過(guò)去的安全規(guī)劃與建設(shè)基礎(chǔ)上創(chuàng)新思路，以應(yīng)對(duì)不斷出現(xiàn)的新興威脅。

孟加拉央行攻擊事件回顧

背景

2016年2月5日，孟加拉國(guó)央行（Bangladesh Central Bank）被黑客攻擊導(dǎo)致8100萬(wàn)美元被竊取，攻擊者通過(guò)網(wǎng)絡(luò)攻擊或者其他方式獲得了孟加拉國(guó)央行SWIFT系統(tǒng)操作權(quán)限，進(jìn)一步攻擊者向紐約聯(lián)邦儲(chǔ)備銀行（Federal Reserve Bank of New York）發(fā)送虛假的SWIFT轉(zhuǎn)賬指令，孟加拉國(guó)央行在紐約聯(lián)邦儲(chǔ)備銀行上設(shè)有代理帳戶。紐約聯(lián)邦儲(chǔ)備銀行總共收到35筆，總價(jià)值9.51億美元的轉(zhuǎn)賬要求，其中30筆被拒絕，另外5筆總價(jià)值1.01億美元的交易被通過(guò)。進(jìn)一步其中2000萬(wàn)美元因?yàn)槠磳戝e(cuò)誤（Foundation誤寫為fandation）被中間行發(fā)覺(jué)而被找回，而另外8100萬(wàn)美元?jiǎng)t被成功轉(zhuǎn)走盜取。

而我們捕獲到的這次網(wǎng)絡(luò)攻擊中所使用的惡意代碼，其功能是篡改SWIFT報(bào)文和刪除相關(guān)數(shù)據(jù)信息以掩飾其非法轉(zhuǎn)賬的痕跡，其中攻擊者通過(guò)修改SWIFT的Alliance Access客戶端軟件的數(shù)據(jù)有效性驗(yàn)證指令，繞過(guò)相關(guān)驗(yàn)證。

攻擊流程

圖 1 evtdiag.exe執(zhí)行流程

步驟1：惡意代碼檢測(cè)是否有進(jìn)程加載了“liboradb.dll”模塊，進(jìn)一步修改數(shù)據(jù)有效性驗(yàn)證指令，繞過(guò)驗(yàn)證；

步驟2：讀取“gpca.dat”配置文件，其中包括了transord、日期、C&C等攻擊者預(yù)設(shè)的關(guān)鍵信息；

步驟3：“2016年2月5日”是樣本在滿足其他特定條件后，執(zhí)行報(bào)文篡改操作的觸發(fā)時(shí)間；

步驟4：MT900報(bào)文篡改，操作打印機(jī)，并選擇性修改數(shù)據(jù)庫(kù)；

步驟5：樣本執(zhí)行篡改報(bào)文操作時(shí)，查詢被感染計(jì)算機(jī)的相關(guān)“登錄/注銷”狀態(tài)，將相關(guān)信息回傳C&C服務(wù)器；

步驟6：監(jiān)控執(zhí)行持續(xù)到2016年2月6日6:00，之后退出并刪除自身的日志、數(shù)據(jù)以及注冊(cè)的服務(wù)。

表 1 evtdiag.exe相關(guān)參數(shù)

表 2 gpca.dat配置文件內(nèi)容

篡改MT900報(bào)文

《SWIFT之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》中詳細(xì)介紹了SWIFT。MT900是SWIFT MT十大類報(bào)文中其中第9類的一種，關(guān)于MT900報(bào)文的格式，下面有詳細(xì)介紹，這樣有助于理解后門具體篡改細(xì)節(jié)。

1) MT900借記證實(shí)

MT900范圍

這是由帳戶行發(fā)給開戶行，用來(lái)通知開戶行某筆款項(xiàng)已借記其所開帳戶的報(bào)文格式。該借記將在對(duì)帳單中被進(jìn)一步證實(shí)。如果帳戶行經(jīng)常發(fā)送該帳戶的對(duì)帳單，那么就不會(huì)定期發(fā)送此報(bào)文。

該報(bào)文不能用于記帳，它只是向收?qǐng)?bào)行(即開戶行)證實(shí)這一筆借記。

MT900域詳述

域20：發(fā)報(bào)行的編號(hào)　

域21：有關(guān)業(yè)務(wù)編號(hào)

列明引起這筆借記的業(yè)務(wù)編號(hào)。如：MT100中域“20”中的編號(hào)?！?/p>

域25：帳號(hào)　

列明已被借記的帳戶號(hào)碼?！?/p>

域32A：起息日、貨幣、金額　

列明借記的起息日、貨幣和金額?！?/p>

域52a：指示行　

列明指示發(fā)報(bào)行借記該帳戶的銀行。如果該銀行是收?qǐng)?bào)行以外的銀行，那么報(bào)文使用該域列明指示行?！?/p>

域72：附言

該域只能填寫有關(guān)說(shuō)明，不能出現(xiàn)任何指示。

2) 具體篡改流程

圖 2相關(guān)被篡改文件和配置文件關(guān)系圖

獲取nfzp/nfzf下所有”%d_%d”報(bào)文，并且根據(jù)MSG_TRN_REF是否已經(jīng)在配置紀(jì)錄當(dāng)中進(jìn)行分類，同時(shí)獲取”%d_1″中的”60F”和”Sender”。

注：以下表3和表4是MT900報(bào)文中具體需要修改的項(xiàng)，具體修改操作細(xì)節(jié)暫不公開

表 3被篡改的MT900相關(guān)內(nèi)容

此處操作的執(zhí)行條件為：上張報(bào)文中的”Sender”為”FEDERAL RESERVE BANK”。foff下會(huì)更新數(shù)據(jù)庫(kù)，fofp時(shí)不會(huì)跟新數(shù)據(jù)庫(kù)

打開foff/fofp目錄下的第一個(gè)含有”-”的報(bào)文。更該賬單中的19A和90B，在賬單中，19A和90B應(yīng)該只有一項(xiàng)。

表 4被篡改的MT900相關(guān)內(nèi)容

liboradb.dll分析

本次事件中攻擊者通過(guò)修改SWIFT的Alliance Access客戶端軟件中數(shù)據(jù)有效性驗(yàn)證指令，繞過(guò)相關(guān)驗(yàn)證，而導(dǎo)致相關(guān)問(wèn)題的文件就是liboradb.dll。

liboradb.dll 基于OCI編程開發(fā)，作為SWIFT alliance核心組件，為程序提供Oracle數(shù)據(jù)庫(kù)交互操作接口，其中包含權(quán)限驗(yàn)證功能。此dll被SWIFT數(shù)據(jù)庫(kù)服務(wù)進(jìn)程調(diào)用,作為連接Oracle數(shù)據(jù)庫(kù)的接口。

OCI 介紹：OCI（Oracle Call Interface，即0racle調(diào)用層接口）是Oracle公司提供的由頭文件和庫(kù)函數(shù)等組成的一個(gè)訪問(wèn)Oracle數(shù)據(jù)庫(kù)的應(yīng)用程序編程接口（application programming interface API），它允許開發(fā)人員在第三代編程語(yǔ)言（包括C, C++, COBOL 與 FORTRAN）中通過(guò)SQL（Structure Query Language）來(lái)操縱Oracle數(shù)據(jù)庫(kù)，而且OCI在一定程度上支持第三代編程語(yǔ)言（諸如C, C++, COBOL 與 FORTRAN）的數(shù)據(jù)類型、語(yǔ)法等等。

相關(guān)攻擊事件綜合分析

SWIFT官方預(yù)警或申明

2016年5月9日，環(huán)球銀行金融電信協(xié)會(huì)（SWIFT）發(fā)表聲明表示，SWIFT拒絕由孟加拉國(guó)銀行和孟加拉國(guó)警方的刑事調(diào)查部門(CID)官員提出的虛假指控，SWIFT對(duì)孟加拉銀行劫案不負(fù)有任何責(zé)任，孟加拉銀行有責(zé)任維護(hù)其銀行系統(tǒng)環(huán)境的安全。

2016年5月10日，孟加拉國(guó)央行的新掌門人、紐約聯(lián)邦儲(chǔ)備銀行和SWIFT官員在瑞士巴塞爾會(huì)晤討論。在一份簡(jiǎn)短的聯(lián)合聲明中，雙方表示，他們致力于追回被竊資金，將肇事者繩之以法，并協(xié)同工作來(lái)“標(biāo)準(zhǔn)化操作”。

2016年5月13日，SWIFT協(xié)會(huì)發(fā)布的一份報(bào)告中稱，已有第二家銀行報(bào)告遭到網(wǎng)絡(luò)攻擊，這起攻擊與孟加拉國(guó)央行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶被竊8100萬(wàn)美元的網(wǎng)絡(luò)攻擊類似，具體損失情況未知。并強(qiáng)調(diào)稱，針對(duì)孟加拉國(guó)央行的惡意軟件，對(duì)SWIFT的網(wǎng)絡(luò)或核心信息交互系統(tǒng)沒(méi)有影響，該惡意軟件只能在黑客已經(jīng)成功發(fā)現(xiàn)并利用當(dāng)?shù)兀ㄣy行）系統(tǒng)網(wǎng)絡(luò)安全隱患之后才能被植入。就此，SWIFT已經(jīng)研發(fā)出相應(yīng)設(shè)備，幫助客戶提升網(wǎng)絡(luò)安全、找準(zhǔn)當(dāng)?shù)財(cái)?shù)據(jù)庫(kù)記錄有出入之處。

2016年5月24日，在布魯塞爾歐洲金融服務(wù)第十四屆年度會(huì)議上，SWIFT首席執(zhí)行官Gottfried Leibbrandt表示，SWIFT將提升其網(wǎng)絡(luò)系統(tǒng)安全性，采取包括對(duì)銀行管理軟件提出更嚴(yán)格的安全要求，管控支付方式和第三方機(jī)構(gòu)認(rèn)證等措施。他重申，攻擊并未對(duì)SWIFT的網(wǎng)絡(luò)或核心信息交互系統(tǒng)造成影響，并透露將會(huì)啟動(dòng)一個(gè)新項(xiàng)目，旨在維護(hù)全球金融體系安全。

2016年5月27日，SWIFT協(xié)會(huì)宣稱啟動(dòng)新的客戶項(xiàng)目，針對(duì)日益猖獗的網(wǎng)絡(luò)威脅，保護(hù)全球金融體系的財(cái)產(chǎn)安全。該項(xiàng)目分為5個(gè)戰(zhàn)略舉措，包括提高國(guó)際機(jī)構(gòu)之間信息共享、增強(qiáng)客戶的SWIFT相關(guān)工具、加強(qiáng)指導(dǎo)，提供審計(jì)的框架、支持增加事務(wù)模式檢測(cè)、加強(qiáng)支持第三方提供者。

戰(zhàn)術(shù)：瞄準(zhǔn)SWIFT系統(tǒng)

1) 針對(duì)銀行系統(tǒng)的一系列攻擊事件

2016年-孟加拉國(guó)央行（Bangladesh Central Bank）

在本報(bào)告第二部分內(nèi)容詳細(xì)介紹了攻擊流程和篡改MT900報(bào)文的細(xì)節(jié)，在這里不進(jìn)一步占據(jù)，具體內(nèi)容請(qǐng)參看：“二、孟加拉央行攻擊事件回顧”。

2015年-越南先鋒銀行（Tien Phong Bank）

圖 3整體關(guān)系流程

針對(duì)越南先鋒銀行的攻擊中，相關(guān)惡意代碼內(nèi)置了8家銀行的SWIFT CODE，越南銀行均在這些銀行中設(shè)有代理帳戶。目前看到的Fake PDF Reader樣本目的不是攻擊列表中的這些銀行，而是用來(lái)刪除越南銀行與其他家銀行間的轉(zhuǎn)帳確認(rèn)（篡改MT950對(duì)帳單）。這樣銀行的監(jiān)測(cè)系統(tǒng)就不會(huì)發(fā)現(xiàn)這種不當(dāng)交易了。

關(guān)于針對(duì)越南先鋒銀行的攻擊，可以參看我們之前發(fā)布的報(bào)告：《SWIFT之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》。

2015年-厄瓜多爾銀行（Banco del Austro）

據(jù)路透社報(bào)道，2015年1月12號(hào)，在一條來(lái)自厄瓜多爾Banco del Austro(DBA)銀行系統(tǒng)信息的指引下，位于舊金山的Wells Forga向香港的銀行賬戶進(jìn)行了轉(zhuǎn)賬。并且在接連10天內(nèi)，至少有12筆的BDA銀行資金通過(guò)SWIFT系統(tǒng)被轉(zhuǎn)走，總金額高達(dá)1200萬(wàn)美金。BDA已就該事件將Wells Frago向紐約法庭提起了訴訟，理由是Wells Forgo美國(guó)銀行本應(yīng)該將這些交易標(biāo)記為可疑交易，然而從訴訟資料看，雙方銀行都相信這些資金是被匿名黑客盜走的。

另外，SWIFT方面的負(fù)責(zé)人在案件被報(bào)道之前卻對(duì)此毫不知情。相關(guān)人士稱，SWIFT確實(shí)會(huì)核驗(yàn)系統(tǒng)發(fā)送信息中的密碼來(lái)確保信息來(lái)自銀行用戶的終端設(shè)備。但是一旦網(wǎng)絡(luò)盜竊者獲取了密碼和證書，SWIFT就無(wú)法判斷操作者是不是真正的賬戶持有人了。而黑客正式鉆了這個(gè)空子，盜取了一名銀行雇員的SWIFT證書，金額盜走了巨額資金。

2013年-索納莉銀行（Sonali Bank）

據(jù)路透社報(bào)道，2013年孟加拉國(guó)的索納莉銀行（Sonali Bank）也發(fā)生了類似孟加拉央行的攻擊事件，在索納莉事件中，攻擊者盜取了25萬(wàn)美金的銀行資金。銀行IT運(yùn)營(yíng)部的高級(jí)官員稱，在索納莉銀行劫案中，黑客們?cè)谝慌_(tái)電腦上安裝keylogger來(lái)竊取其他系統(tǒng)的密碼，然后使用SWIFT系統(tǒng)發(fā)送偽造的轉(zhuǎn)賬申請(qǐng)。

2) 相似的攻擊戰(zhàn)術(shù)

圖 4關(guān)于針對(duì)4家銀行的攻擊流程

通過(guò)分析從2013年的索納莉到2016年的孟加拉國(guó)央行這4個(gè)攻擊銀行的事件，結(jié)合上圖，不難看出相關(guān)攻擊事件之間有很多的相似性。

從攻擊戰(zhàn)術(shù)或攻擊流程進(jìn)行分析，其中主要環(huán)節(jié)是獲得SWIFT、利用SWIFT發(fā)送轉(zhuǎn)賬指令和最終清除證據(jù)掩蓋事實(shí)這三個(gè)部分。

第一，獲得目標(biāo)銀行SWIFT權(quán)限：首先需要獲得目標(biāo)銀行的SWIFT系統(tǒng)操作權(quán)限，索納莉銀行和厄瓜多爾銀行從相關(guān)報(bào)道來(lái)看，均是通過(guò)網(wǎng)絡(luò)攻擊來(lái)獲得了相關(guān)權(quán)限。據(jù)有關(guān)報(bào)道稱索納莉銀行SWIFT相關(guān)登錄帳號(hào)和密碼是被植入的惡意代碼所監(jiān)控竊取，而厄瓜多爾也是類似登錄驗(yàn)證憑證被竊取，由此我們可以得到一個(gè)信息，就是攻擊者要獲得SWIFT操作權(quán)限，并不需要進(jìn)行物理接觸，完全通過(guò)網(wǎng)絡(luò)即可完成。而目前尚未有報(bào)道明確指出孟加拉國(guó)央行的SWIFT系統(tǒng)權(quán)限是通過(guò)網(wǎng)絡(luò)攻擊獲得，但相關(guān)調(diào)查孟加拉央行事件的研究人員表示應(yīng)該是黑客利用網(wǎng)絡(luò)攻擊獲得了相關(guān)登錄憑證。而越南先鋒銀行本身沒(méi)有被攻擊，問(wèn)題出在其第三方服務(wù)商（提供SWIFT服務(wù)），但目前不清楚是否是通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊獲得相關(guān)SWIFT操作權(quán)限的，先鋒銀行之后表示要改為直接連接SWIFT系統(tǒng)。

第二，向其他銀行發(fā)送轉(zhuǎn)賬指令（代理帳戶）：攻擊者在獲得SWIFT權(quán)限之后，最核心的目的就是要利用SWIFT發(fā)送轉(zhuǎn)賬指令，我們推測(cè)應(yīng)該是SWIFT MT報(bào)文中第一類報(bào)文，如MT103（單筆客戶匯款）。除索納莉銀行以外，我們發(fā)現(xiàn)攻擊者均向存在目標(biāo)銀行代理帳戶的銀行發(fā)送轉(zhuǎn)賬指令，如美國(guó)國(guó)富銀行設(shè)有厄瓜多爾銀行的代理帳戶、大華銀行等其他7家銀行設(shè)有越南先鋒銀行的代理帳戶和紐約聯(lián)邦儲(chǔ)備銀行設(shè)有孟加拉國(guó)央行的代理帳戶。通俗來(lái)講也就是孟加拉國(guó)央行等這幾個(gè)目標(biāo)銀行存在其他銀行上的錢被冒名轉(zhuǎn)走了。

第三，篡改MT9XX報(bào)文清除證據(jù)：由于暫未捕獲到針對(duì)索納莉和厄瓜多爾銀行進(jìn)行攻擊的惡意代碼，所以我們無(wú)法知道是否有該環(huán)節(jié)。我們主要來(lái)看越南先鋒銀行和孟加拉國(guó)央行，首先攻擊者都是對(duì)MT9XX報(bào)文進(jìn)行了劫持，在對(duì)越南先鋒銀行是劫持MT950對(duì)帳單，在針對(duì)孟加拉國(guó)央行是劫持了MT900借記證實(shí)，進(jìn)一步都是對(duì)相關(guān)報(bào)文進(jìn)行了篡改，目的是刪除相關(guān)轉(zhuǎn)帳記錄，進(jìn)行平帳。有區(qū)別是孟加拉國(guó)央行是對(duì)相關(guān)報(bào)文篡改后直接發(fā)送給打印機(jī)，打印出來(lái)，而越南先鋒銀行是對(duì)MT950的電子版PDF進(jìn)行篡改后，然后打印機(jī)打印篡改后的PDF。攻擊者最終目的就是篡改報(bào)告，另外刪除其他一些數(shù)據(jù)信息，目的是抹去相關(guān)證據(jù)線索。另外我們發(fā)現(xiàn)越南先鋒銀行和孟加拉國(guó)央行中攻擊者所使用的惡意代碼，從代碼同源性上，都存在一個(gè)特殊的安全刪除函數(shù)，這也更進(jìn)一步證明的這兩次攻擊事件并不是孤立的，兩者之間必然有一定聯(lián)系。

總體而言，這類攻擊戰(zhàn)術(shù)就是針對(duì)具備SWIFT系統(tǒng)的銀行進(jìn)行攻擊，首先需要依托網(wǎng)絡(luò)攻擊或其他手段獲得SWIFT權(quán)限，進(jìn)一步向其他銀行上的代理帳戶發(fā)送轉(zhuǎn)帳指令來(lái)達(dá)到金錢竊取的目的，最終使用惡意代碼進(jìn)行相關(guān)證據(jù)清除掩蓋事實(shí)的過(guò)程。

技術(shù)：惡意代碼同源性分析

安全刪除函數(shù)

我們發(fā)現(xiàn)孟加拉國(guó)央行、越南先鋒銀行攻擊中使用的惡意代碼內(nèi)的安全刪除函數(shù)是復(fù)用了相同的代碼，進(jìn)一步Lazarus組織在2014年針對(duì)索尼的攻擊中的惡意代碼和賽門鐵克安全公司在近期發(fā)布的安全報(bào)告中提到，針對(duì)東南亞金融業(yè)的有限目標(biāo)性攻擊中出現(xiàn)的Backdoor.Fimlis惡意代碼，都復(fù)用了同樣的代碼。

安全刪除函數(shù)有2個(gè)參數(shù)：文件名和迭代次數(shù)。首先使用5F覆蓋文件的末尾字節(jié)，然后根據(jù)6個(gè)控制字節(jié)決定使用什么數(shù)據(jù)覆蓋原文件內(nèi)容。

總結(jié)

攻擊由一個(gè)組織或多個(gè)組織協(xié)同發(fā)起

從對(duì)相關(guān)攻擊事件的戰(zhàn)術(shù)層面和技術(shù)層面的深入分析，我們認(rèn)為近期曝光的這4起針對(duì)銀行的攻擊事件并非孤立的，而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。

攻擊組織極為熟悉目標(biāo)銀行的作業(yè)流程

如越南先鋒銀行中，從將惡意程序構(gòu)造偽裝成Foxit reader（福昕PDF閱讀器）到對(duì)MT950對(duì)帳單PDF文件的解析和精確的篡改等攻擊手法，都反映出攻擊者對(duì)銀行內(nèi)部交易系統(tǒng)和作業(yè)流程非常熟悉。攻擊者的攻擊意圖明確，而且攻擊者要如此了解和展開相關(guān)攻擊行動(dòng)，事前進(jìn)行了大量偵查情報(bào)收集的工作。

與Lazarus組織（APT-C-26）存在關(guān)聯(lián)

針對(duì)SWIFT攻擊事件中與Lazarus組織所使用的相關(guān)惡意代碼，我們從樣本代碼層面進(jìn)行同源性分析，發(fā)現(xiàn)其中一個(gè)特殊的安全刪除函數(shù)基本是進(jìn)行了代碼復(fù)用。從這一點(diǎn)來(lái)看，針對(duì)越南先鋒銀行和孟加拉國(guó)央行的攻擊應(yīng)該是與Lazarus組織有一定的聯(lián)系。

安全刪除函數(shù)這部分代碼能關(guān)聯(lián)到Lazarus組織曾今在2013年發(fā)動(dòng)的darkseoul攻擊行動(dòng)和2014年針對(duì)索尼影視娛樂(lè)公司的攻擊行動(dòng)，相關(guān)攻擊行動(dòng)的IOC（MD5C&C等）在當(dāng)時(shí)已經(jīng)被安全機(jī)構(gòu)公開了，也可以理解為安全刪除函數(shù)這個(gè)本身特殊的代碼在當(dāng)時(shí)就已經(jīng)公開了。也就是在此之后，比如2015年、2016年非Lazarus組織的攻擊者，也可以輕松的獲得安全刪除函數(shù)的代碼并在進(jìn)行開發(fā)其他惡意代碼的時(shí)候拿來(lái)使用。簡(jiǎn)而言之，如果我們依靠這處安全刪除函數(shù)，來(lái)判定某個(gè)惡意代碼是否屬于Lazarus組織，是不具備強(qiáng)關(guān)聯(lián)性的。

正如我們之前發(fā)布的洋蔥狗報(bào)告（APT-C-03）“第5章 ICEFOG‘重生’：誤導(dǎo)？嫁禍？”中提到的觀點(diǎn)，我們不排除這有可能是其他組織刻意加入的干擾項(xiàng)。

銀行業(yè)本身暴露出諸多安全問(wèn)題

近期曝光的4起針對(duì)銀行的攻擊事件中，其中2013年的索納莉銀行、2015厄瓜多爾銀行確定是由網(wǎng)絡(luò)進(jìn)行攻擊獲得相關(guān)轉(zhuǎn)賬權(quán)限，另外越南先鋒銀行和孟加拉國(guó)央行也是自身環(huán)節(jié)發(fā)生了問(wèn)題，導(dǎo)致攻擊者具備發(fā)送SWIFT轉(zhuǎn)賬指令的權(quán)限。

這明顯暴露出銀行自身的安全防護(hù)薄弱，另外攻擊者通過(guò)網(wǎng)絡(luò)攻擊就可以獲得SWIFT權(quán)限，并加以操作，以及攻擊者對(duì)SWIFT的Alliance Access客戶端軟件的數(shù)據(jù)有效性驗(yàn)證指令，繞過(guò)相關(guān)驗(yàn)證等等，這些都暴露出SWIFT 本身也存在一定問(wèn)題，如是否在普通的帳號(hào)密碼驗(yàn)證機(jī)制基礎(chǔ)上，可以加一些需要依賴物理設(shè)備或環(huán)境才能進(jìn)行驗(yàn)證的步驟，這樣能大大隔離純粹來(lái)自網(wǎng)絡(luò)的攻擊。

* 企業(yè)賬號(hào)：360安全衛(wèi)士，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）