快递员也会黑了你的公司？DarkVishnya银行攻击事件浅谈

一、前言

2017至2018年，卡巴斯基实验室的专家被邀请研究一系列网络窃取相关事件，通过研究，我们发现这些事件都有一个共同的特征：即都包含一个连接到公司本地网络的未知直连设备。该设备可能被存放在任何位置，包括：办公室，区域办事处等。经过跟踪研究，我们发现此次攻击事件的主要目标是东欧银行，截至目前已经有至少8家银行受到攻击，造成的直接损失多大千万美元。我们把此次事件统一命名为”DarkVishnya”。

二、事件分析

经过分析，我们发现整个攻击大概分为三个阶段。

在第一阶段，网络攻击者会伪装身份，冒充快递员，求职人员进入想要攻击的目标场所。并将准备好的设备连接到本地网络，该设备可能被隐藏在会议室等不容易被发现的地方。

在DarkVishnya事件攻击中，攻击者会根据自身能力和喜好的不同而使用不同的攻击设备，这些设备包括以下列表：

1.低成本的笔记本电脑

2.Raspberry Pi 电脑（一种基于 Linux 的单片机电脑）

3.Bash Bunny（一个USB攻击工具）

该设备在本地网络中很难被发现，因为该攻击设备常常会被识别为未知的计算机，或是被识别为外部闪存驱动器乃至键盘等。另外，由于Bash Bunny（一个USB攻击工具）和USB闪存驱动器大小相似，使该设备隐藏性进一步增加。

攻击者攻击手段通常有以下几种：1.通过内置的恶意程序进行远程访问控制设备。2.通过USB连接GPRS/3G/LTE调制解调器进行远程访问控制设备。

第二阶段，当攻击者建立远程连接后，首先扫描本地网络，查找可被访问的共享文件夹，Web服务器等对外开放资源。其目的是获取网络相关信息，比如付款的相关服务器信息。与此同时，攻击者会通过暴力破解或嗅探的技术手段尝试登陆这些机器。攻击者采取本地释放shellcode的方法来对抗防火墙拦截。当防火墙阻止一个网段访问另一个网段，但允许反向连接时，攻击者会使用一个不同的载荷进行通信。

第三阶段，当攻击者成功登陆目标机器后，首先通过远程控制类软件留下可供访问的后门，然后使用 msfvenom (一个产生自定义的payload的程序)创建一些恶意服务，为了逃避白名单等检测机制，在整个攻击过程中，攻击者不会释放落地文件并且使用PowerShell。当遇到无法绕过的白名单或者PowerShell被阻止执行时，攻击者会使用远程 工具 运行想要执行的恶意文件。使用的远程工具包括：impacket，winexesvc.exe，psexec.exe。

三、事件总结

企业安全防护中物理层面通常是容易被忽视的，不管是物理入侵或是物理破坏等。应及时注意网络的物理隔离、扫描以及数据恢复等。