这天下午发生了一件怪事。她和往常一样登录网银，网址明明是银行官网，她却总感觉网站有些不对劲，安装了网站提示的“网银安全控件”，杀毒软件突然自动关闭了，她不知道这是为什么，明明就是银行的官网网址……

　　这是个真实的事件。

　　拥有 500 万用户，总资产超 250 亿美元的巴西 Banrisul 银行，在当地时间 2016 年 10 月 22 日遭遇了长达 5 个小时的网站劫持，期间所有用户被“接管”到一个精心布置的钓鱼网站，所有成功登录的用户都被窃取了凭据，并且电脑被植入恶意木马。事后安全专家评价，这次攻击事件是有史以来最大规模的行动之一。该银行至今未发布任何公告，受影响用户范围不详……

　　然而这一事件却被威胁情报平台微步在线捕获，他们通过技术手段还原了整个攻击流程。发现黑客运用了一种堪称“隔山打牛”的精妙攻击手法。这种手法首次出现在银行行业。

　　黑客“隔山打牛”搞定银行

　　直接攻破银行的业务系统，似乎不太可能，罪犯们决定来个迂回攻击。

犯罪团伙这次攻击起码准备了几个月，因为几个月前，他们就在谷歌云服务商搭建了一个仿冒银行网站，然后利用免费的网站证书供应商 Let's encrypt 拿到 https 证书。

　　微步在线的资深威胁分析师察罕告诉雷锋网。

　　搭建好网站，拿到 https 证书，钓鱼网站就能在浏览器上展示“安全”标志和绿色小锁了。骗过用户的肉眼只是第一步，然后就到了“隔山打牛”的关键步骤：黑客利用漏洞或钓鱼邮件的方式搞到了 Banrisul 银行在另一家网站 Registro.br 的账号密码。

　　Registro.br 是干什么的？ DNS 服务商。也就是“隔山打牛”里的那座“山”。

　　这里简单科普一下 DNS 在网站中的作用。DNS 域名解析服务，是互联网中的“带路人”，负责将用户带到正确的网站服务器。当你在浏览器中输入网站网址时，其实是由 DNS 服务器将你指引到正确的服务器 IP 的。

　　那么问题来了，DNS 服务既然能把用户往正确的服务器上带，也就能把用户往坑里带，攻击者们想到了这一点。他们盗走了巴西银行在 DNS 服务商那里的账号，然后将银行网站域名指向他们精心构建的钓鱼网站地址。

　　于是就出现了文章开头的一幕，用户即使一字不差地输入了银行官网的网址，进入的依然是钓鱼网站。用户输入账号密码时，很难意识到自己正在将密码拱手送人。这时网站再弹出一个“安全控件安装”提示，用户便自然而然地装上了所谓的“安全控件”， 其实是恶意木马。

　　这种方式在业内被称之为“DNS 劫持攻击”，是一种比较常见的攻击方式，但在银行业之前没有相关案例。

　　被劫持了几个小时之后，银行工作人员终于发现了问题，赶紧向用户发送紧急邮件，并邮件联系 DNS 供应商，却发现整个银行内部的邮件系统失效了！

　　根据微步在线的威胁报告，该银行一共有 36 个网站都被修改了 DNS 记录，不仅是网银系统，连内部的邮件系统也被修改了 DNS 指向，导致邮件系统失效，银行无法通过邮件来通知受害者，以及联系 DNS 供应商。

　　DNS 劫持整整持续了 5 小时之久，最终银行将网站恢复了正常。然而在这期间所有登录过的用户信息早已泄露，并且电脑被植入了恶意木马。

　　根据报告中的木马样本分析，这一恶意程序运行后会自动从远程服务器下载另一个恶意程序，用来关闭杀毒软件，并且获取系统信息、监控桌面、执行命令等等，并且不断访问一台远程服务器的某一个端口。显然，那一头是始作俑者，操纵着整次攻击。

　　细节回顾：银行的“失策”

　　其实，曾经出现了有好几次发现攻击者的机会，但银行安全人员没有好好珍惜（等到失去后，才后悔莫及）。从安全攻防的角度上来看，这次事件完全有办法避免。

　　首先，有专家分析，DNS 提供商 Registro.br 于 1 月份修复了一个跨站点请求伪造漏洞（一种漏洞类型，用于非法登录他人账号），攻击者很可能是通过那个漏洞攻击的他们，但巴西某银行并没有启用 Registro.br 提供的双因素身份认证机制，错失了防御住黑客的第一个机会，黑客成功攻入了其 DNS 服务账号。 

　　微步在线在威胁通报上称：

国内各大银行网站也使用了的众多域名服务商的 DNS 服务，其中多家域名服务商的网站也曾被爆出存在严重漏洞，可能泄露用户敏感细信息，需引起有关单位的高度重视。

　　网站存在漏洞几乎无可避免，但据雷锋网了解，国内的域名服务商像中国万网、新网、广东互易网络等等，也都提供了账户双因素认证机制。及时开启这些安全认证，能够大幅提高账户安全性。

　　其次，黑客早在几个月就开始准备“军火”，但银行迟迟没有发现。微步在线的察罕还向雷锋网透露了一个关键信息：黑客在劫持银行网站之前的几个小时，曾经多次修改 DNS 记录，但是几分钟内又改回来了，分析师推测那可能是黑客在为正式劫持做测试。

　　“很可惜，银行没有注意到这个异常变化，这也暴露了该银行在 DNS 威胁分析上的不足” 察罕说，通常在黑客进行一次完整的攻击活动时，不会立刻行动，而是提前搜集信息、寻找漏洞、搭建环境等等，业内称之为“网络杀伤链“（Cyber Kill Chain）。其中很多动作都会暴露攻击者的意图，如果能及时发现，就能及时响应威胁。

　　同样，网站 DNS 出现变化很正常，但是如果忽然指向了一个陌生的 IP，或者说常理上不太可能出现的情况，比如腾讯家的网站忽然指向了阿里云上的 IP，这显然不太正常。

　　这些变化其实就是威胁来临的特征，说明有可能“有人要搞你”。如果能及时获知这些变化，就能及时发现并响应，不过很可惜的是巴西 Banrisul 银行并没有做到这一点，他们没有发现攻击几小时前的异常变化。

　　察罕告诉雷锋网(公众号：雷锋网)，目前这种攻击手法在银行业还是首次出现，不排除后续国内银行也遭遇类似手法攻击的可能性。国内各大银行目前使用的域名服务商众多，而域名服务商又处于外部，并不属于银行管控，因此提醒企业们及时排查 DNS 系统的安全性，并做好威胁信息监测， 堤防“隔山打牛”再次上演。