一、 概述

2016 年 2 月孟加拉國央行被黑客攻擊導(dǎo)致 8100 萬美元被竊取的事件被曝光后，如越南 先鋒銀行、厄瓜多爾銀行等，針對銀行 SWIFT 系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開。在相關(guān) 事件曝光后，我們立即對相關(guān)攻擊事件的展示溯源分析，就越南先鋒銀行相關(guān)攻擊樣本，我們形成了技術(shù)報告《SWIFT 之殤——針對越南先鋒銀行的黑客攻擊技術(shù)初探》

在分析孟加拉國央行和越南先鋒銀行攻擊事件期間，我們發(fā)現(xiàn)近期曝光的這 4 起針對銀 行的攻擊事件并非孤立的，而很有可能是由一個組織或多個組織協(xié)同發(fā)動的不同攻擊行動。 另外通過對惡意代碼同源性分析，我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相 關(guān)惡意代碼與 Lazarus 組織（APT-C-26）有關(guān)聯(lián)，但我們不確定幕后的攻擊組織是 Lazarus 組 織（APT-C-26）。 另外攻擊組織對目標銀行作業(yè)流程極為熟悉，也就并非短期內(nèi)所能達到的，我們推測在 偵查跟蹤環(huán)節(jié)，攻擊者應(yīng)該針對目標進行了長時間且非常專注的持續(xù)性分析。 在對相關(guān)攻擊事件的分析和剖析過程中，也暴露出諸多銀行等金融行業(yè)本身的安全問題。 如這一系列攻擊事件要想達到金錢竊取，前提就需要獲得銀行本身 SWIFT 操作權(quán)限，而要獲得相關(guān)權(quán)限則首先需要將銀行自身網(wǎng)絡(luò)攻陷。

近年來，針對銀行、證券等金融行業(yè)的 APT 攻擊不斷出現(xiàn)，盡管目前披露的還只是以 境外銀行業(yè)發(fā)生的安全事件為主，但是網(wǎng)絡(luò)攻擊本就是跨國界的，這對于國內(nèi)銀行業(yè)的安全 防護也敲響了警鐘。在過去的安全實踐中，我們不止一次發(fā)現(xiàn)了國內(nèi)金融行業(yè)曾遭受到了 APT 攻擊，安全態(tài)勢并不是天下太平；再結(jié)合之前安天移動發(fā)布的《針對移動銀行和金融支付的持續(xù)黑產(chǎn)行動披露——DarkMobileBank 跟蹤分析報告》中所披露的地下黑產(chǎn)針對金融 行業(yè)最終用戶的攻擊現(xiàn)狀，我們確實有必要重新審視國內(nèi)金融行業(yè)所面臨的安全風險，以及在過去的安全規(guī)劃與建設(shè)基礎(chǔ)上創(chuàng)新思路，以應(yīng)對不斷出現(xiàn)的新興威脅。

二、 孟加拉央行攻擊事件回顧

1. 背景

2016 年 2 月 5 日，孟加拉國央行（Bangladesh Central Bank）被黑客攻擊導(dǎo)致 8100 萬美 元被竊取，攻擊者通過網(wǎng)絡(luò)攻擊或者其他方式獲得了孟加拉國央行 SWIFT 系統(tǒng)操作權(quán)限，進 一步攻擊者向紐約聯(lián)邦儲備銀行（Federal Reserve Bank of New York）發(fā)送虛假的 SWIFT 轉(zhuǎn)賬 指令，孟加拉國央行在紐約聯(lián)邦儲備銀行上設(shè)有代理帳戶。紐約聯(lián)邦儲備銀行總共收到 35 筆，總價值 9.51 億美元的轉(zhuǎn)賬要求，其中 30 筆被拒絕，另外 5 筆總價值 1.01 億美元的交 易被通過。進一步其中 2000 萬美元因為拼寫錯誤（Foundation 誤寫為 fandation）被中間行 發(fā)覺而被找回，而另外 8100 萬美元則被成功轉(zhuǎn)走盜取。 而我們捕獲到的這次網(wǎng)絡(luò)攻擊中所使用的惡意代碼，其功能是篡改 SWIFT 報文和刪除相 關(guān)數(shù)據(jù)信息以掩飾其非法轉(zhuǎn)賬的痕跡，其中攻擊者通過修改 SWIFT 的 Alliance Access 客戶端 軟件的數(shù)據(jù)有效性驗證指令，繞過相關(guān)驗證。

2. 攻擊流程

3. 篡改 MT900 報文

《SWIFT 之殤——針對越南先鋒銀行的黑客攻擊技術(shù)初探》3中“二、 關(guān)于 SWIFT”，詳 細介紹了 SWIFT。MT900 是 SWIFT MT 十大類報文中其中第 9 類的一種，關(guān)于 MT900 報文的 格式，下面有詳細介紹，這樣有助于理解后門具體篡改細節(jié)。

1) MT900 借記證實

MT900 范圍

這是由帳戶行發(fā)給開戶行，用來通知開戶行某筆款項已借記其所開帳戶的報文格式。該 借記將在對帳單中被進一步證實。如果帳戶行經(jīng)常發(fā)送該帳戶的對帳單，那么就不會定期發(fā) 送此報文。 該報文不能用于記帳，它只是向收報行(即開戶行)證實這一筆借記。

2) 具體篡改流程

獲取 nfzp/nfzf 下所有”%d_%d”報文，并且根據(jù) MSG_TRN_REF 是否已經(jīng)在配置紀錄當 中進行分類，同時獲取”%d_1″中的”60F”和”Sender”。

注：以下表 3 和表 4 是 MT900 報文中具體需要修改的項，具體修改操作細節(jié)暫不公開

此處操作的執(zhí)行條件為：上張報文中的”Sender”為”FEDERAL RESERVE BANK”。foff 下會更 新數(shù)據(jù)庫，fofp 時不會跟新數(shù)據(jù)庫。

打開 foff/fofp 目錄下的第一個含有”-”的報文。更該賬單中的 19A 和 90B，在賬單中，19A 和 90B 應(yīng)該只有一項。

4. liboradb.dll 分析

本次事件中攻擊者通過修改 SWIFT 的 Alliance Access 客戶端軟件中數(shù)據(jù)有效性驗證指令， 繞過相關(guān)驗證，而導(dǎo)致相關(guān)問題的文件就是 liboradb.dll。 liboradb.dll 基于 OCI 編程開發(fā)，作為 SWIFT alliance 核心組件，為程序提供 Oracle 數(shù)據(jù) 庫交互操作接口，其中包含權(quán)限驗證功能。此 dll 被 SWIFT 數(shù)據(jù)庫服務(wù)進程調(diào)用,作為連接 Oracle 數(shù)據(jù)庫的接口。 OCI 介紹：OCI（Oracle Call Interface，即 0racle 調(diào)用層接口）是 Oracle 公司提供的由頭 文件和庫函數(shù)等組成的一個訪問 Oracle 數(shù)據(jù)庫的應(yīng)用程序編程接口（application programming interface API），它允許開發(fā)人員在第三代編程語言（包括 C, C++, COBOL 與 FORTRAN）中通過 SQL（Structure Query Language）來操縱 Oracle 數(shù)據(jù)庫，而且 OCI 在一定 程度上支持第三代編程語言（諸如 C, C++, COBOL 與 FORTRAN）的數(shù)據(jù)類型、語法等等。

三、 相關(guān)攻擊事件綜合分析

1. SWIFT 官方預(yù)警或申明

2016 年 5 月 9 日，環(huán)球銀行金融電信協(xié)會（SWIFT）發(fā)表聲明表示5，SWIFT 拒絕由孟加 拉國銀行和孟加拉國警方的刑事調(diào)查部門(CID)官員提出的虛假指控，SWIFT 對孟加拉銀行劫 案不負有任何責任，孟加拉銀行有責任維護其銀行系統(tǒng)環(huán)境的安全。 2016 年 5 月 10 日，孟加拉國央行的新掌門人、紐約聯(lián)邦儲備銀行和 SWIFT 官員在瑞士 巴塞爾會晤討論。在一份簡短的聯(lián)合聲明中，雙方表示，他們致力于追回被竊資金，將肇事 者繩之以法，并協(xié)同工作來“標準化操作”。6 2016 年 5 月 13 日，SWIFT 協(xié)會發(fā)布的一份報告7中稱，已有第二家銀行報告遭到網(wǎng)絡(luò)攻 擊，這起攻擊與孟加拉國央行在紐約聯(lián)邦儲備銀行的賬戶被竊 8100 萬美元的網(wǎng)絡(luò)攻擊類似， 具體損失情況未知。并強調(diào)稱，針對孟加拉國央行的惡意軟件，對 SWIFT 的網(wǎng)絡(luò)或核心信息 交互系統(tǒng)沒有影響，該惡意軟件只能在黑客已經(jīng)成功發(fā)現(xiàn)并利用當?shù)兀ㄣy行）系統(tǒng)網(wǎng)絡(luò)安全 隱患之后才能被植入。就此，SWIFT 已經(jīng)研發(fā)出相應(yīng)設(shè)備，幫助客戶提升網(wǎng)絡(luò)安全、找準當 地數(shù)據(jù)庫記錄有出入之處。 2016 年 5 月 24 日，在布魯塞爾歐洲金融服務(wù)第十四屆年度會議上，SWIFT 首席執(zhí)行官 Gottfried Leibbrandt 表示8，SWIFT 將提升其網(wǎng)絡(luò)系統(tǒng)安全性，采取包括對銀行管理軟件提出 更嚴格的安全要求，管控支付方式和第三方機構(gòu)認證等措施。他重申，攻擊并未對 SWIFT 的網(wǎng)絡(luò)或核心信息交互系統(tǒng)造成影響，并透露將會啟動一個新項目，旨在維護全球金融體系 安全。 2016 年 5 月 27 日，SWIFT 協(xié)會宣稱啟動新的客戶項目，針對日益猖獗的網(wǎng)絡(luò)威脅，保 護全球金融體系的財產(chǎn)安全。該項目分為 5 個戰(zhàn)略舉措9，包括提高國際機構(gòu)之間信息共享、 增強客戶的 SWIFT 相關(guān)工具、加強指導(dǎo)，提供審計的框架、支持增加事務(wù)模式檢測、加強支 持第三方提供者。

2. 戰(zhàn)術(shù)：瞄準 SWIFT 系統(tǒng)

1) 針對銀行系統(tǒng)的一系列攻擊事件

2016 年-孟加拉國央行（Bangladesh Central Bank）

在本報告第二部分內(nèi)容詳細介紹了攻擊流程和篡改 MT900 報文的細節(jié)，在這里不進一 步占據(jù)，具體內(nèi)容請參看：“二、孟加拉央行攻擊事件回顧”。

2015 年-越南先鋒銀行（Tien Phong Bank）

針對越南先鋒銀行的攻擊中，相關(guān)惡意代碼內(nèi)置了 8 家銀行的 SWIFT CODE，越南銀行 均在這些銀行中設(shè)有代理帳戶。目前看到的 Fake PDF Reader 樣本目的不是攻擊列表中的這 些銀行，而是用來刪除越南銀行與其他家銀行間的轉(zhuǎn)帳確認（篡改 MT950 對帳單）。這樣銀 行的監(jiān)測系統(tǒng)就不會發(fā)現(xiàn)這種不當交易了。 關(guān)于針對越南先鋒銀行的攻擊，可以參看我們之前發(fā)布的報告：《SWIFT 之殤——針對 越南先鋒銀行的黑客攻擊技術(shù)初探》。

2015 年-厄瓜多爾銀行（Banco del Austro）

據(jù)路透社報道，2015 年 1 月 12 號，在一條來自厄瓜多爾 Banco del Austro(DBA)銀行系 統(tǒng)信息的指引下，位于舊金山的 Wells Forga 向香港的銀行賬戶進行了轉(zhuǎn)賬。并且在接連 10 天內(nèi)，至少有 12 筆的 BDA 銀行資金通過 SWIFT 系統(tǒng)被轉(zhuǎn)走，總金額高達 1200 萬美金。BDA已就該事件將 Wells Frago 向紐約法庭提起了訴訟，理由是 Wells Forgo 美國銀行本應(yīng)該將這 些交易標記為可疑交易，然而從訴訟資料看，雙方銀行都相信這些資金是被匿名黑客盜走的。 另外，SWIFT 方面的負責人在案件被報道之前卻對此毫不知情。相關(guān)人士稱，SWIFT 確 實會核驗系統(tǒng)發(fā)送信息中的密碼來確保信息來自銀行用戶的終端設(shè)備。但是一旦網(wǎng)絡(luò)盜竊者 獲取了密碼和證書，SWIFT 就無法判斷操作者是不是真正的賬戶持有人了。而黑客正式鉆了 這個空子，盜取了一名銀行雇員的 SWIFT 證書，金額盜走了巨額資金。

2013 年-索納莉銀行（Sonali Bank）

據(jù)路透社報道，2013 年孟加拉國的索納莉銀行（Sonali Bank）也發(fā)生了類似孟加拉央行 的攻擊事件，在索納莉事件中，攻擊者盜取了 25 萬美金的銀行資金。銀行 IT 運營部的高級 官員稱，在索納莉銀行劫案中，黑客們在一臺電腦上安裝 keylogger 來竊取其他系統(tǒng)的密碼， 然后使用 SWIFT 系統(tǒng)發(fā)送偽造的轉(zhuǎn)賬申請。

2) 相似的攻擊戰(zhàn)術(shù)

通過分析從 2013 年的索納莉到 2016 年的孟加拉國央行這 4 個攻擊銀行的事件，結(jié)合 上圖，不難看出相關(guān)攻擊事件之間有很多的相似性。 從攻擊戰(zhàn)術(shù)或攻擊流程進行分析，其中主要環(huán)節(jié)是獲得 SWIFT、利用 SWIFT 發(fā)送轉(zhuǎn)賬指 令和最終清除證據(jù)掩蓋事實這三個部分。

第一，獲得目標銀行 SWIFT 權(quán)限：首先需要獲得目標銀行的 SWIFT 系統(tǒng)操作權(quán)限，索 納莉銀行和厄瓜多爾銀行從相關(guān)報道來看，均是通過網(wǎng)絡(luò)攻擊來獲得了相關(guān)權(quán)限。據(jù)有關(guān)報 道稱索納莉銀行 SWIFT 相關(guān)登錄帳號和密碼是被植入的惡意代碼所監(jiān)控竊取，而厄瓜多爾也 是類似登錄驗證憑證被竊取，由此我們可以得到一個信息，就是攻擊者要獲得 SWIFT 操作權(quán) 限，并不需要進行物理接觸，完全通過網(wǎng)絡(luò)即可完成。而目前尚未有報道明確指出孟加拉國 央行的 SWIFT 系統(tǒng)權(quán)限是通過網(wǎng)絡(luò)攻擊獲得，但相關(guān)調(diào)查孟加拉央行事件的研究人員表示應(yīng) 該是黑客利用網(wǎng)絡(luò)攻擊獲得了相關(guān)登錄憑證。而越南先鋒銀行本身沒有被攻擊，問題出在其 第三方服務(wù)商（提供 SWIFT 服務(wù)），但目前不清楚是否是通過網(wǎng)絡(luò)進行攻擊獲得相關(guān) SWIFT 操作權(quán)限的，先鋒銀行之后表示要改為直接連接 SWIFT 系統(tǒng)。

第二，向其他銀行發(fā)送轉(zhuǎn)賬指令（代理帳戶）：攻擊者在獲得 SWIFT 權(quán)限之后，最核心 的目的就是要利用 SWIFT 發(fā)送轉(zhuǎn)賬指令，我們推測應(yīng)該是 SWIFT MT 報文中第一類報文，如 MT103（單筆客戶匯款）。除索納莉銀行以外，我們發(fā)現(xiàn)攻擊者均向存在目標銀行代理帳戶 的銀行發(fā)送轉(zhuǎn)賬指令，如美國國富銀行設(shè)有厄瓜多爾銀行的代理帳戶、大華銀行等其他 7 家銀行設(shè)有越南先鋒銀行的代理帳戶和紐約聯(lián)邦儲備銀行設(shè)有孟加拉國央行的代理帳戶。通 俗來講也就是孟加拉國央行等這幾個目標銀行存在其他銀行上的錢被冒名轉(zhuǎn)走了。

第三，篡改 MT9XX 報文清除證據(jù)：由于暫未捕獲到針對索納莉和厄瓜多爾銀行進行攻 擊的惡意代碼，所以我們無法知道是否有該環(huán)節(jié)。我們主要來看越南先鋒銀行和孟加拉國央 行，首先攻擊者都是對 MT9XX 報文進行了劫持，在對越南先鋒銀行是劫持 MT950 對帳單， 在針對孟加拉國央行是劫持了 MT900 借記證實，進一步都是對相關(guān)報文進行了篡改，目的 是刪除相關(guān)轉(zhuǎn)帳記錄，進行平帳。有區(qū)別是孟加拉國央行是對相關(guān)報文篡改后直接發(fā)送給打 印機，打印出來，而越南先鋒銀行是對 MT950 的電子版 PDF 進行篡改后，然后打印機打印 篡改后的 PDF。攻擊者最終目的就是篡改報告，另外刪除其他一些數(shù)據(jù)信息，目的是抹去相 關(guān)證據(jù)線索。另外我們發(fā)現(xiàn)越南先鋒銀行和孟加拉國央行中攻擊者所使用的惡意代碼，從代 碼同源性上，都存在一個特殊的安全刪除函數(shù)，這也更進一步證明的這兩次攻擊事件并不是 孤立的，兩者之間必然有一定聯(lián)系。 總體而言，這類攻擊戰(zhàn)術(shù)就是針對具備 SWIFT 系統(tǒng)的銀行進行攻擊，首先需要依托網(wǎng)絡(luò) 攻擊或其他手段獲得 SWIFT 權(quán)限，進一步向其他銀行上的代理帳戶發(fā)送轉(zhuǎn)帳指令來達到金錢 竊取的目的，最終使用惡意代碼進行相關(guān)證據(jù)清除掩蓋事實的過程。

3. 技術(shù)：惡意代碼同源性分析

安全刪除函數(shù)

我們發(fā)現(xiàn)孟加拉國央行、越南先鋒銀行攻擊中使用的惡意代碼內(nèi)的安全刪除函數(shù)是復(fù)用 了相同的代碼，進一步 Lazarus 組織在 2014 年針對索尼的攻擊中的惡意代碼和賽門鐵克安全 公司在近期發(fā)布的安全報告13中提到，針對東南亞金融業(yè)的有限目標性攻擊中出現(xiàn)的 Backdoor.Fimlis 惡意代碼，都復(fù)用了同樣的代碼。 安全刪除函數(shù)有 2 個參數(shù)：文件名和迭代次數(shù)。首先使用 5F 覆蓋文件的末尾字節(jié)，然 后根據(jù) 6 個控制字節(jié)決定使用什么數(shù)據(jù)覆蓋原文件內(nèi)容。

四、 總結(jié)

1. 攻擊由一個組織或多個組織協(xié)同發(fā)起

從對相關(guān)攻擊事件的戰(zhàn)術(shù)層面和技術(shù)層面的深入分析，我們認為近期曝光的這 4 起針對 銀行的攻擊事件并非孤立的，而很有可能是由一個組織或多個組織協(xié)同發(fā)動的不同攻擊行動。

2. 攻擊組織極為熟悉目標銀行的作業(yè)流程

如越南先鋒銀行中，從將惡意程序構(gòu)造偽裝成Foxit reader（福昕PDF閱讀器）到對MT950 對帳單 PDF 文件的解析和精確的篡改等攻擊手法，都反映出攻擊者對銀行內(nèi)部交易系統(tǒng)和 作業(yè)流程非常熟悉。攻擊者的攻擊意圖明確，而且攻擊者要如此了解和展開相關(guān)攻擊行動， 事前進行了大量偵查情報收集的工作。

3. 與 Lazarus 組織（APT-C-26）存在關(guān)聯(lián)

針對 SWIFT 攻擊事件中與 Lazarus 組織所使用的相關(guān)惡意代碼，我們從樣本代碼層面進 行同源性分析，發(fā)現(xiàn)其中一個特殊的安全刪除函數(shù)基本是進行了代碼復(fù)用。從這一點來看， 針對越南先鋒銀行和孟加拉國央行的攻擊應(yīng)該是與 Lazarus 組織有一定的聯(lián)系。 安全刪除函數(shù)這部分代碼能關(guān)聯(lián)到 Lazarus 組織曾今在 2013 年發(fā)動的 darkseoul 攻擊行 動和 2014 年針對索尼影視娛樂公司的攻擊行動，相關(guān)攻擊行動的 IOC（MD5C&C 等）在當 時已經(jīng)被安全機構(gòu)公開了，也可以理解為安全刪除函數(shù)這個本身特殊的代碼在當時就已經(jīng)公 開了。也就是在此之后，比如 2015 年、2016 年非 Lazarus 組織的攻擊者，也可以輕松的獲 得安全刪除函數(shù)的代碼并在進行開發(fā)其他惡意代碼的時候拿來使用。簡而言之，如果我們依 靠這處安全刪除函數(shù)，來判定某個惡意代碼是否屬于 Lazarus 組織，是不具備強關(guān)聯(lián)性的。 正如我們之前發(fā)布的洋蔥狗報告（APT-C-03） 14 “第 5 章 ICEFOG‘重生’：誤導(dǎo)？嫁禍？” 中提到的觀點，我們不排除這有可能是其他組織刻意加入的干擾項。

4. 銀行業(yè)本身暴露出諸多安全問題

近期曝光的 4 起針對銀行的攻擊事件中，其中 2013 年的索納莉銀行、2015 厄瓜多爾銀 行確定是由網(wǎng)絡(luò)進行攻擊獲得相關(guān)轉(zhuǎn)賬權(quán)限，另外越南先鋒銀行和孟加拉國央行也是自身環(huán) 節(jié)發(fā)生了問題，導(dǎo)致攻擊者具備發(fā)送 SWIFT 轉(zhuǎn)賬指令的權(quán)限。 這明顯暴露出銀行自身的安全防護薄弱，另外攻擊者通過網(wǎng)絡(luò)攻擊就可以獲得 SWIFT 權(quán)限，并加以操作，以及攻擊者對 SWIFT 的 Alliance Access 客戶端軟件的數(shù)據(jù)有效性驗證指 令，繞過相關(guān)驗證等等，這些都暴露出 SWIFT 本身也存在一定問題，如是否在普通的帳號 密碼驗證機制基礎(chǔ)上，可以加一些需要依賴物理設(shè)備或環(huán)境才能進行驗證的步驟，這樣能大 大隔離純粹來自網(wǎng)絡(luò)的攻擊。

*企業(yè)賬號：360安全衛(wèi)士，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）