960AED兑换人民币

2023-06-04 21:44:12

阅读 0

2016年10月22日13时，某网络黑客团伙成功接管巴西一家银行所有业务长达5小时，截获了当时所有的金融交易数据。微步在线根据卡巴斯基公开的相关信息检索发现，此次攻击的受害者为巴西Banrisul银行，该行成立于1928年，在巴西、美国、阿根廷和大开曼岛等地拥有分行500家，客户约500万，总资产超过250亿美元。

微步在线分析此次事件的攻击流程如下：

· 攻击者于2016年年中开始对Banrisul银行网站进行全面调查分析，掌握网站体系架构，下载网站源码。

· 利用漏洞或钓鱼邮件方式入侵Banrisul银行的DNS提供商Registro.br，控制了Banrisul的DNS账户。

· 2016年10月22日5时30分，在Let’s Encrypt网站注册免费SSL证书，启用Google Cloud上的仿冒网站。

· 2016年10月22日13时，修改银行网站DNS解析记录，将访问银行在线服务的用户定向到仿冒网站，诱导输入信用卡信息。

· 控制并关闭银行的企业邮箱，以防止银行通知受害者和DNS供应商。

· 诱导用户下载伪装成Trusteer的恶意软件压缩包（Truste_Install_EF69EC50F11D77D9.zip）并执行其中的Java文件（Truste_Install_EF69EC50F11D77D9.jar）。

· Java文件的执行后会从远端服务器（191.101.232.182）下载一个包含后门程序的压缩包（windows.zip），执行其中的Avenger程序用于清理系统现有杀毒软件，并将后门程序（windows.dll）注册为计划任务。

· windows.dll后门程序具备获取系统信息、监控桌面窗口、获取进程列表、远程执行、文件上传下载、命令等功能，会不断尝试访问谷歌协作平台（sites.google.com）的随机地址和C&C服务器（192.99.111.91）的15111端口。

微步在线对国内20余家主流银行分析发现，大多数单位使用了内部邮箱用于域名管理，且域名服务器也为内部所有，自身安全措施较为完善。而涉及的域名服务商则包括中国万网、新网、中科三方、广东互易网络、厦门三五互联等10多家，其中多数公司近年来均被爆出过SQL注入、XSS等高危漏洞，可能泄露用户敏感细信息，合作伙伴的安全问题同样需要引起有关单位的高度重视。

………………………………………检测措施………………………………………

以下两种方式，任意一种即可：

· 网络流量：

建议直接部署微步在线威胁情报平台进行检测，或者使用附录的IOC结合日志检测：

如，通过防火墙检查与IP 191.101.232.182的连接

· 主机检测：

%appdata%MicrosoftWindows.bat

%appdata%MicrosoftWindows.exe

%appdata%MicrosoftWindows.txt

%appdata%Microsoft.zip

………………………………………行动建议………………………………………

· 利用微步在线提供的威胁情报或者威胁情报平台进行检测，及时响应。