卡巴斯基曝光 DarkVishnya 银行内网攻击案件细节

在影视作品中，经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员，让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说，这显然是一件很容易暴露的事情。但没想到的是，同样的剧情，竟然在现实中上演了。2017~2018 年间，卡巴斯基实验室的专家们，受邀研究了一系列的网络盗窃事件。

  它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。

  据悉，东欧至少有 8 家银行成为了这种袭击的目标（统称 DarkVishnya），造成了数千万美元的损失。

  每次攻击可分为相同的几个阶段：首先，网络犯罪分子以快递员、求职者等为幌子，潜入了组织的大楼、并将设备连接到本地网络（比如某个会议室中）。

  在可能的情况下，该装置会被隐藏或混入周围环境，以免引起怀疑。如上图所示的带插座的多媒体桌子，就很适合植入隐蔽的设备。

  根据网络犯罪分子的能力和个人喜好，DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中，通常有如下三种：

  ● 上网本或廉价笔记本电脑；

  ● 树莓派计算机；

  ● Bash Bunny — 一款用于执行 USB 攻击的特殊工具。

  在本地网络内，该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器，远程访问被植入的设备。

  结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实，这使得安全人员在搜索时，难以决定从何处先下手。

  攻击的第二阶段，攻击者远程连接到设备、并扫描本地网络，以访问共享文件夹、Web 服务器、和其它开放式资源。

  此举旨在获取有关网络的信息，尤其是业务相关的服务器和工作站。与此同时，攻击者试图暴力破解或嗅探这些机器的登录凭证。

  为克服防火墙的限制，它们使用本地 TCP 服务器来植入 shellcode 。

  若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接，则攻击者会借助其它可被利用的资源，来构建所需的通信隧道。

  得逞后，网络犯罪分子会实施第三阶段：

  登录目标系统，使用远程访问软件来保留访问权限，接着在受感染的计算机上启用 msfvenom 创建的恶意服务。

  因为黑客利用了无文件攻击（Fileless Attacks）和 PowerShell，所以能够绕过白名单技术、或者域策略。

  即便遇到了无法绕过的白名单，或者 PowerShell 被目标计算机阻止，网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件，发动远程攻击。

  最后，卡巴斯基实验室曝光了如下恶意软件：

  not-a-virus.RemoteAdmin.Win32.DameWare

  MEM:Trojan.Win32.Cometer

  MEM:Trojan.Win32.Metasploit

  Trojan.Multi.GenAutorunReg

  HEUR:Trojan.Multi.Powecod

  HEUR:Trojan.Win32.Betabanker.gen

  not-a-virus:RemoteAdmin.Win64.WinExe

  Trojan.Win32.Powershell

  PDM:Trojan.Win32.CmdServ

  Trojan.Win32.Agent.smbe

  HEUR:Trojan.Multi.Powesta.b

  HEUR:Trojan.Multi.Runner.j

  not-a-virus.RemoteAdmin.Win32.PsExec

  Shellcode 监听端口：

  tcp://0.0.0.0:5190

  tcp://0.0.0.0:7900

  Shellcode 连结点：

  tcp://10.**.*.***:4444

  tcp://10.**.*.***:4445

  tcp://10.**.*.***:31337

  Shellcode 管道：

  \\.\xport

  \\.\s-pipe