欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

SWIFT惊天银行大劫案全程分析

来源:本站整理 作者:佚名 时间:2016-06-29 TAG: 我要投稿


1.前言
最近,使用国际银行业合作SWIFT系统的银行频频发生被盗,是由于SWIFT系统真的存在严重安全问题,还是跟好莱坞大片那样直接撬开银行金库?本文将针对孟加拉国央行被盗的案例进行了技术分析,还原银行被盗的整个过程。
本文将分为两大部分:第一部分为孟加拉国央行案例的整体分析,包括孟加拉国央行的风险分析,木马分析,篡改金额等具体技术细节分析,第二部分为科普SWIFT系统基本简介、银行识别代码、报文以及系统架构等知识。
如果不熟悉SWIFT整个系统流程的可先阅读第二部分了解SWIFT机制再阅读第一部分的木马分析。
2.孟加拉国央行被盗过程还原
2.1.  事件概述
从去年开始,世界范围内使用SWIFT系统的银行相继被曝出盗窃案件,从2015年1月的厄瓜多尔银行损失1200万美元,10月的菲律宾银行,到今年2月孟加拉国央行曝出被盗窃8100万美元。一系列的案件逐渐引起了人们对SWIFT系统的关注,并对SWIFT系统的安全性打上了问号。
根据孟加拉国央行人员以及警方消息,孟加拉国央行被盗并非空穴来风,原因是该行缺乏任何防火墙设备,而且使用的是价值10美元的二手交换机,网络结构也没有将SWIFT相关服务器与其他网络做隔离。有进一步的消息表明,孟加拉国央行的技术人员搭建了可以直接访问SWIFT系统的WIFI接入点,只使用了简单的密码保护,另一方面,安装了SWIFT系统的服务器并没有禁用USB接口,这些种种现象表明,该行的网络安全存在各种巨大安全隐患,被黑客盯上只是时间的问题。
本报告重点对木马主程序进行了逆向分析,包括行为监控,绕过安全校验机制,篡改金额等进行了分析,覆盖了整个窃取金额的主要流程。对于黑客幕后组织,其他银行SWIFT被盗案例暂不深入分析。
从下面的攻击流程概要可以看出:
木马程序evtdiag.exe可以用不同的参数来启动,主要功能是以Windows服务启动的进程来实现。通过配置文件读取攻击所需要的信息,如CC服务器地址,SWIFT报文关键字段,收款人等,然后通过实时监听转账交易缓存记录,实时劫持到转账所需要的消息ID,并在数据库中删除该交易记录。接下来恶意程序通过监控日志查找孟加拉国央行的登录行为,如果没有找到则睡眠5秒后再次搜索。当监控到登录行为后,绕过SWIFT客户端的安全机制后,监控关键目录下的缓存报文信息并解析,根据解析结果获得转账账户当前最大可用余额,并成功篡改交易金额和收款人,达到窃取资金的目的。此外恶意程序还劫持打印机篡改需要打印的对账单,避免银行业务人员发现篡改行为,从而延长了银行追查资金的时间,让黑客有更多的时间去洗钱。

2.2.  攻击前的准备
根据第一部分介绍的SWIFT系统基础知识,最容易切入的点非SWIFT接入服务器莫属,攻击者通过种植精心编译的木马得到SWIFT Alliance Access software服务器的权限,重点攻破以下几个关卡达到了窃取非法资金的目的:
l   获得SWIFTAlliance Access software控制权
l   破解SWIFT报文安全检验机制
l   监听目标报文并进行篡改操作并实现对账平衡(主要是转入/转出)
l   劫持打印机打印篡改前对账单
根据获取到的信息,恶意软件样本有:
SHA1
编译时间
字节大小
文件名
备注
525a8e3ae4e3df8c9c61f2a49e38541d196e9228
2016年2月5日11时46分20秒
65,536
evtdiag.exe
恶意软件 主程序
76bab478dcc70f979ce62cd306e9ba50ee84e37e
2016年2月4日13时45分39秒
16,384
evtsys.exe
主程序启动后的服务名
70bf16597e375ad691f2c1efa194dbe7f60e4eeb
2016年2月5日8点55分十九秒
24,576
nroff_b.exe
劫持打印机主程序
6207b92842b28a438330a2bf0ee8dcab7ef0a163
N / A
33,848
gpca.dat
恶意程序 配置文件
从中可以看出攻击者不仅有良好的恶意软件编写功底,还对整个SWIFT架构业务非常熟悉,甚至对数据库的表结构都了如指掌。
2.3.  恶意文件的启动
启动恶意程序evtdiag.exe时接收不同的启动参数,从而达到不同的功能。接收的参数有-svc、-g、-p、resume、pause、on、off、queue,其中on、pause、resume、off、queue都是对打印机功能的操作,-svc参数则是将木马以windows服务方式启动,服务名为evtsys.exe。

在运行时,恶意软件通过读取它的配置文件gpca.dat,该配置文件在服务器的路径如下:
[ROOT_DRIVE]:\Users\Administrator\AppData\Local\Allians\gpca.dat
而且通过RC4加密,而密钥如下:
4e 38 1f a7 7f 08 cc aa 0d 56 ed ef f9 ed08 ef
该恶意软件还通过以下的文件来记录恶意程序的日志信息:
[ROOT_DRIVE]:\Users\Administrator\AppData\Local\Allians\recas.dat
2.4. 实时监控转账交易
恶意软件的第二个步骤是开始进行监听SWIFT Financial Application (FIN)报文,重点关注下面目录的*PRC和*fal文件
[ROOT_DRIVE]:\Users\Administrator\AppData\Local\Allians\mcm\in\
[ROOT_DRIVE]:\Users\Administrator\AppData\Local\Allians\mcm\out\
猜测这两个目录保存的转入/转出报文的临时文件,而*PRC和*FAL文件则是转账对应的报文。恶意程序会深入解析这两种格式的文件,根据配置文件gpca.dat定义的字符串进行搜索,定义的字符串如下:
“FIN 900 Confirmation of Debit”(FIN 900确认借记)
“20: Transaction”(20:交易)

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载