Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

SWIFT之殇:针对越南先锋银行的黑客攻击技术初探

$
0
0
SWIFT之殇:针对越南先锋银行的黑客攻击技术初探

2016-06-02 10:48:16
来源:360安全播报 作者:360追日团队

阅读:821次
点赞(0)
收藏



分享到:








——针对越南先锋银行的黑客攻击技术初探

360追日团队

近期,孟加拉国、厄瓜多尔、越南、菲律宾等多个国家的银行陆续曝出曾经遭遇黑客攻击并试图窃取金钱事件,这些事件中黑客都瞄准了SWIFT银行间转账系统,对相关银行实施攻击和窃取。360追日团队深入分析了截获的黑客攻击越南先锋银行所使用的恶意代码样本,并由此对此次事件中的黑客攻击技术进行了初步探索。

一、概述

随着孟加拉国央行被黑客攻击导致8100万美元被窃取的事件逐渐升温,针对银行SWIFT系统的其他网络攻击事件逐一被公开,具体如下表所示:

攻击时间 被攻击银行 计划窃取 实际损失 2013年 索纳莉银行(Sonali Bank) 未知 25万美元 2015年1月 厄瓜多尔银行(Banco del Austro) 未知 1200万美元 2015年10月 疑似菲律宾某银行 未知 未知 2015年12月8日 越南先锋银行(Tien Phong Bank) 120万欧元 无 2016年2月5日 孟加拉国央行(Bangladesh Central Bank) 10亿美元 8100万美元 未知 疑似香港某银行 未知 未知 未知 疑似菲律宾、新西兰某银行和其他10多家金融机构 未知 未知

表 1针对银行攻击事件汇总

通过对相关恶意代码和攻击手法的研究,以及其他安全厂商的研究结论,360追日团队推测针对孟加拉国央行和越南先锋银行发起攻击的幕后组织或许是同一个组织,该组织可能是Operation Blockbuster所揭秘披露的Lazarus组织,中国相关机构也是该组织主要攻击目标之一。

本报告主要就越南先锋银行的相关攻击事件、样本展开深入分析,暂不深入关联孟加拉国央行被攻击事件和Lazarus组织,对相关事件或组织之间的关联归属分析等,我们在之后的关联分析报告中会有详细的介绍。

关于Lazarus黑客组织

2016年2月25日,Lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全企业协作分析并揭露。2013年针对韩国金融机构和媒体公司的DarkSeoul攻击行动和2014年针对索尼影视娱乐公司(Sony Pictures Entertainment,SPE)攻击的幕后组织都是Lazarus组织。

相关时间节点

具体事件描述

2007.03.07

“Flame”行动中第一代恶意软件开发完成,该活动最终与“1Mission”行动、“Troy”行动、2013年DarkSeoul攻击联系在一起。

2009.07.04

使用恶意工具MYDOOM、Dozer对美国、韩国网站发动大规模DDOS攻击,该恶意软件在MBR写入文本信息“Memory of Independence Day”。

2009-2013

“Troy”网络间谍行动活跃数年,在2013年DarkSeoul攻击达到顶峰。

2011.03

“Ten Days of Rain”行动攻击韩国媒体、金融、基础设施。利用韩国地区的肉鸡发动DDOS攻击。

2011.04

韩国农协银行被DDOS攻击。

2012

发动“1Mission”行动,该行动的攻击者被报道称从2007年就开始活跃。

2012.06

韩国保守媒体报纸声称受到具有清除功能的恶意软件的攻击,但未成功。网站被未知黑客团体“IsOne”篡改。

2013.03.20

DarkSeoul清除行动攻击韩国广播公司、金融机构、及一家ISP。两个未知黑客团队NewRomanic Cyber Army Team 和 WhoIs Team声称对此负责。

2014.03

疑似有黑客试图窃取韩国军方数据,使用的服务器之一也被用于DarkSeoul攻击。

2014.11.24

索尼影视娱乐公司网络被植入破坏性恶意软件,信息被窃取。早前的未知黑客组织GOP声称负责。

表 2 Lazarus组织历史活动相关重大事件节点

二、关于SWIFT

SWIFT全称是Society for Worldwide Interbank Financial Telecommunication,中文名是“环球同业银行金融电信协会”。1973年5月,由美国、加拿大和欧洲的—些大银行正式成立SWIFT组织,其总部设在比利时的布鲁塞尔,它是为了解决各国金融通信不能适应国际间支付清算的快速增长而设立的非盈利性组织,负责设计、建立和管理SWIFT国际网络,以便在该组织成员间进行国际金融信息的传输和确定路由。

目前全球大多数国家大多数银行已使用SWIFT系统。SWIFT的使用,使银行的结算提供了安全、可靠、快捷、标准化、自动化的通讯业务,从而大大提高了银行的结算速度。由于SWIFT的格式具有标准化,目前信用证的格式主要都是用SWIFT电文。

1.SWIFT提供的服务

l接入服务(Connectivity)

包括SWIFTAlliance Access and Entry 、SWIFTAlliance Gateway 、SWIFTAlliance Webstation 、File Transfer Interface 等接入模式;

l金融信息传送服务(Messaging)

包括SWIFTNet FIN 、SWIFTNet InterAct 、SWIFT FileAct 、SWIFTNeBrowse 等传输模式;

l交易处理服务(transaction processing)

提供交易处理匹配服务 、实时报告的双边净额清算服务 、支持B2B的商务中的端对端电子支付等;

l分析服务与分析工具(Analytical Services/Tools)

向金融机构提供一些辅助性的服务,即分析服务与分析工具。

2.SWIFT CODE

SWIFT Code是由该协会提出并被ISO通过的银行识别代码,其原名是BIC (Bank Identifier Code)。

每个申请加入SWIFT组织的银行都必须事先按照SWIFT组织的统一规则,制定出本行SWIFT地址代码,经SWIFT组织批准后正式生效。SWIFT Code由8位或11位英文字母或数字组成。

代码格式:

l8码长—XXXXXXXX

a

b

c

X

X

X

X

X

X

X

X

l11码长—XXXXXXXXXXX

a

b

c

d

X

X

X

X

X

X

X

X

X

X

X

各部分的含义如下:

a. 银行代码:由四位易于识别的银行行名字头缩写字母构成,如 ABOC、ICBK、CITI 等;

b. 国家代码:根据国际标准化组织的规定由两位字母构成,如 CN、HK、GB、US、DE 等;

c. 地区代码:由两位数字或字母构成,标明城市,如 BJ、HH、SX 等;

d. 分行代码:由三位数字或字母构成,标明分行,如 100、010、CJ1、400 等,若表 示总行,则使用XXX。

3.SWIFT报文

SWIFT组织根据国际结算业务开展的需要,制定了相关的标准格式的报文,SWIFT的标准格式分为两种:

l基于FIN的标准MTs

l基于XML的新标准MXs

MTs(Message Type ,MTs通用表达式为MTnXX):n(0~9)表示报文类型,XX表示在n类型中的分类,目前共有10类报文,应用较多的是第1、2、3、5、7、9类型。

MXs :在1999年,SWIFT组织选择了XML编码作为新一代标准,同时决定最终应用新一代以XML为基础的标准(MXs), 目前两种标准共存,MX标准由12类报文组成。

SWIFT MT报文

根据银行的实际运作,SWIFT MT报文共划分为十大类:

名称

是否加密押

1

客户汇款与支票(CUSTOMER TRANSFERS CHEQUES)

加押

2

银行头寸调拔(FINANCIAL INSTITUTION TRANSFERS)

加押

3

外汇买卖与存放款(FOREIGN EXCHANGE)

加押

4

托收(COLLECTIONS,CASH LETTERS)

加押

5

证券(SECURITIES)

加押

6

贵金属和辛迪加(PRECIOUS METALS AND SYNDICATIONS)

加押

7

跟单信用证和保函(DOCUMENTARY CREDITS AND GUARANTEES)

加押

8

旅行支票(TRAVELLER’S CHEQUES)

加押

9

银行帐务(BANK STATEMENT)

不加押

0

SWIFT系统报文

不加押

表 3 SWFIT MT报文十大类

SWIFT报文第1类至第8类均为押类电报,需要使用SWIFT密押。SWIFT密押是独立于电传密押之外,在代理行之间交换,且仅供双方在收发SWIFT电讯时使用的密押。其他两类属于不加押报文。

4.MT950对帐单

MT950范围

这是由帐户行发送给开户行,用来说明所开帐户上所有发生额详细情况的报文格式。


SWIFT之殇:针对越南先锋银行的黑客攻击技术初探

MT950准则

l费用、利息及其它调整所应用的方式

1.列明已发送的费用通知MTn90报文编号;

2.如该费用系通过本对帐单首先通知开户行,则必须符合以下条件:

① 必须用相关业务编号加以识别,如开户行原业务的编号;

② 本金必须在对帐单中单独列明。

l对帐单中的金额必须与原业务中的金额一致。如有费用已在业务报文中清楚列明,或是

某一报文的必要组成部分(如托收款项),则该费用不必在对帐单中特别注明;

l帐户行不得将各自独立的业务并笔。如原收付报文系多笔业务,对帐单中仍应分别记帐,每笔借记均须引用原各自报文中域20;

l建议在每个营业日日终,只要帐户中有发生额,帐户行就发送MT950;

l为便于人工核对,建议对帐单中的发生额先按借记和贷记排列,在借记和贷记两类中分别按起息日排列,同一起息日的借、贷记中,按金额由小到大排列;

l一份对帐单的内容可由数份报文组成。

MT950域详述

l域 20:发报行的编号

l域 25:帐号

列明该对帐单的帐号。

l域28C:对帐单号码 / 分页序号

该域内容前后分别表示对帐单连续号码和每一份对帐单报文的分页序号。

l域60a:起始余额

列明某对帐单所涉及的一段时期开始时,有关帐户的帐面余额;或当报文出现分页时,每一分页的过渡起始余额。其内容包括:

借贷标志 D:借方余额 C:贷方余额

日期 用YYMMDD表示

货币

金额

该域内容必须与前一份该帐户对帐单报文域“62a”相同。只有当该报文系某一时期对帐单的第一分页,或对帐单没有分页,这份报文中该域代号才为“60F”。

l域61:对帐单细目

列明每笔业务的详情。在报文的容量允许范围内,该域可重复使用,其内容共有九个子域,顺序如下:

起息日用 YYMMDD表示

记帐日期(可省略) 用MMDD表示

借贷标志 D:借记C:贷记RC:以借冲贷RD:以贷冲借

货币代号(在需要时使用) 填入货币符号的第三个字母

金额

业务类型 其出现方式有以下三种:

1.如系通过SWIFT报文收付的金额及其费用,其类型表现为:“Snnn”字母“S”后的三位数字即SWIFT报文格式代号。

2.如系通过非SWIFT报文收付的金额及其费用,其类型表现为“Nxxx”字母“N”后的三个字母为下列代码之一所替换以表示该资金收付的理由:

BOE

汇票

DIV

股利

BRF

纪经人佣金

EQA

等值金额

CHG

有关费用

ECK

欧洲支票

CHK

支票

FEX

外汇买卖

CLR

光票信用及票汇

INT

利息

CMI

资金管理

LBX

专用信箱

CMN

资金管理

LDP

贷款保证金

CMS

资金管理

MSC

杂项

CMT

资金管理

RTI

还款

CMZ

资金管理

SEC

证券(记入本金时使用)

COL

托收

STO

长期订单

COM

佣金

TCK

旅行支票

DCR

跟单信用证

TRF

头寸调拨

DDT

直接借记

VDA

调整起息日

3.由本对帐单首次

Viewing all articles
Browse latest Browse all 12749

Trending Articles