顯然是警惕的黑客菲尼亞斯·菲舍爾(Phineas Phisher)提出的“如何搶劫銀行”宣言說,搶劫銀行比您想像的要容易,尤其是如果您不在乎要搶哪個銀行。Phineas Phisher洩露的PwC事件響應報告支持了該主張。該報告詳細介紹了被盜銀行開曼國家銀行(曼島)有限公司(CNBIOM)及其姊妹公司開曼國家信託公司(曼島)有限公司(CNTIOM)對管理層的入侵。

(普華永道拒絕就開曼群島的違約行為或洩漏的報告發表評論,這表明欺詐性交易已清除。在一份新聞稿中,開曼群島國家對此次襲擊表示認可,並稱:“目前,沒有證據表明存在財務盜竊或欺詐相關的證據。對於CNBIOM或CNTIOM客戶,或對開曼國民銀行。”它沒有提及銀行本身的財務損失。)

回顧Phineas Phisher所使用的方法,可以洞悉我們的金融基礎架構對攻擊者的脆弱程度,並可以一窺中等技能的個人或一群人如何擺脫銀行搶劫。

誰是菲尼亞斯·菲舍爾?
菲尼亞斯·菲舍爾(Phineas Phisher)此前曾聲稱要對臭名昭著的網絡僱傭團體Gamma Group和Hacking Team進行黑客入侵,並聲稱自己是一個個人,其既定目標是反資本主義,反帝國主義和反監視。一些人懷疑菲尼亞斯·菲舍爾(Phineas Phisher)是一個國家贊助的黑客組織,但沒有辦法知道。

2016年銀行搶劫案中使用的黑客工具是現成的滲透測試工具,如PowerShell和 Mimikatz。這意味著,如果Phineas Phisher能夠做到,那麼任何數量適中的攻擊者也可以做到。這使得開曼群島國家(Cayman National)攻擊成為一個案例研究,說明如何不保護您的網絡(或如何搶劫銀行,具體取決於您的觀點)。

讓我們來看看搶劫案是如何發生的。

立足點
菲尼亞斯·菲舍爾(Phineas Phisher)在他的“如何搶劫銀行”指南中用西班牙語寫道:“給人一個剝削機會,他們將有一天可以使用,教他們進行網絡釣魚, 『將有餘生。”

普華永道事件響應報告證實該銀行被騙了。根據普華永道的報告,銀行搶劫犯於2015年8月從欺騙性域名“ cncim.com”向欺騙性的電子郵件帳戶“ [email protected]” 發送了一封包含“價格變動”主題的 網絡釣魚電子郵件。 ”。普華永道的報告稱:“該域名已於2015年7月27日註冊。此域名極有可能是針對此次攻擊而註冊的。”

有趣的是,其他人大約在同一時間隨機瞄準了同一家銀行。這表明銀行黑客行為十分普遍。
普華永道的報告稱,使用的網絡釣魚攻擊是花園變種犯罪軟件。“ 對電子郵件中附帶的惡意軟件的分析表明,它是Adwind 3,可以通過黑客在線購買[sic]的一種惡意軟件。由於涉及的時間段,我們無法確定該惡意軟件是否與最近的事件直接相關但是,看來該惡意電子郵件可能是專門設計和針對破壞CNBT [Cayman National Bank and Trust]的。”

附加的有效負載名為“ 1_Price_Updates_098123876_docs.jar”,當CNBT員工單擊該附件時,它感染了該員工的工作站,並給擬成為銀行劫匪的人提供了在銀行網絡上的立足點。

一個2016邊檢站研究報告對Adwind 3 RAT說,這是“在Java中,因此跨平台完全實現一個後門,這是兩個巨大的垃圾郵件活動中使用,並有針對性的對全球各金融機構的攻擊非常受歡迎的工具。在所有的版本(Frutas,Adwind,AlienSpy,UNRECOM和JSocket),它已經可以在官方網站上註冊後購買,這就是所謂的“惡意軟件即服務”概念。”

但是,Phineas Phisher告訴CSO,網絡釣魚者是其他人。“不是我,有趣的是,有人在同一時間隨機地將目標對準了同一家銀行。這表明銀行的黑客行為非常普遍。我是通過與用於Hacking Team的相同的Sonicwall SSL / VPN漏洞進入的,不是通過網絡釣魚。”

Phineas Phisher同意通過電子郵件加入CSO,以使用Empire和Meterpreter,但不允許使用Adwind 3。“ 網絡釣魚嘗試使用了Adwind。是的,我只是在使用Metasploit框架。我只是在使用Empire [RAT]。我沒有使用Adwind,而是對PowerShell Empire保持了持久性。”

當銀行於2016年1月發現未經授權的SWIFT交易時,他們致電普華永道進行事件響應。普華永道發現了菲尼亞斯·菲舍爾的外殼,清理了受感染的服務器和工作站,並安裝了其專有的網絡監控解決方案SonarShock,以分析銀行網絡中是否存在持續的惡意活動跡象。

那麼Phineas Phisher是如何獲得事件響應報告的?“當普華永道開始調查黑客攻擊時,他們發現我使用了Empire和Meterpreter並清理了這些計算機並阻止了這些IP,但是他們沒有找到我的備份訪問權限,” Phineas Phisher寫道。當普華永道開始監控網絡時,銀行搶劫犯放了一段時間。“我曾經啟動Mimikatz來獲取新密碼,從那時起,我可以通過在Outlook Web Access中閱讀他們的電子郵件來跟踪調查。”

Mimikatz並非完全是火箭科學,人們。事實並非如此,這肯定會引起銀行的關注,並鼓勵其他銀行搶劫犯。

堅持與逍遙遊
倒退至2015年8月。一旦Phineas Phisher在銀行網絡中立足,他就放棄了反向外殼以保持持久性,然後使用各種滲透測試工具來觀察銀行員工進行SWIFT付款。他還花時間閱讀了有關銀行如何處理SWIFT往來交易的銀行文檔。

Phineas Phisher在銀行的網絡中呆了五個月,沒有被發現,然後才啟動了十次嘗試的SWIFT交易中的第一筆,交易淨賺了幾十萬英鎊-必須指出的是,這遠低於朝鮮黑客從中竊取的8100萬美元Phineas Phisher寫道,在2016年初成為孟加拉國一家銀行。在2016年1月5日成功進行了頭幾筆交易後,他第二天遇到麻煩,並破壞了使用錯誤的SWIFT代碼尋址中介銀行的幾筆交易。

為什麼這家銀行成為目標?Phineas Phisher掃描了Internet,查找了他利用過的所有易受攻擊的VPN設備,仔細查看了銀行的反向DNS結果,並確定“ Cayman”聽起來很有趣。指導手冊說:“我不建議黑客入侵某個特定的銀行,我只是想入侵我所能攻擊的任何銀行,這實際上是一件容易得多的任務。”

也許你的銀行是下一個。