中國黑客攻擊網(wǎng)上銀行現(xiàn)狀分析報告

.PAGE.中國黑客攻擊網(wǎng)上銀行現(xiàn)狀分析[摘要]：在網(wǎng)絡(luò)信息時代的今天,網(wǎng)絡(luò)安全問題日趨嚴重,黑客攻防技術(shù)成為當今網(wǎng)絡(luò)技術(shù)關(guān)注和發(fā)展的焦點。本文列舉了五個近年來國內(nèi)網(wǎng)上銀行遭黑客攻擊的典型案例,剖析了黑客攻擊的原理,總結(jié)了幾種常見的網(wǎng)上銀行攻擊技術(shù),并在最后給出了關(guān)于如何防范黑客攻擊網(wǎng)上銀行的三個建議。[關(guān)鍵詞]：網(wǎng)上銀行黑客網(wǎng)絡(luò)攻擊木馬釣魚引言自上世紀90年代,中國各大銀行紛紛推出網(wǎng)上銀行服務(wù)以來,網(wǎng)上銀行交易這個新興的金融業(yè)務(wù)形式,以其高效、靈活、低成本、全天候的便捷服務(wù),迅速聚集了大量用戶,并且還在吸引著更多未來用戶。網(wǎng)絡(luò)技術(shù)給網(wǎng)銀服務(wù)帶來了傳統(tǒng)銀行業(yè)務(wù)無法媲美的優(yōu)越性,同時也帶來了一個對用戶對銀行都非常重要的課題——網(wǎng)上銀行交易的安全性問題。因此,網(wǎng)絡(luò)銀行和各種網(wǎng)上支付平臺一直都是黑客和病毒作者們非常感興趣的對象。隨著近年來中國網(wǎng)上銀行用戶數(shù)量的突飛猛進,越來越多的中國黑客開始針對國內(nèi)各種在線銀行業(yè)務(wù)發(fā)動攻擊或編寫木馬。一、典型案例〔一20XX7月,XX人付某使用了一種木馬程序,掛在自己的網(wǎng)站上；荊州人趙蓉下載付某的軟件,木馬就"進入"電腦；屏幕上敲入的信息通過郵件發(fā)出：賬戶、密碼；付某成功劃出1萬元；抓獲付某時,他已獲取7000多個全國各地儲戶的網(wǎng)上銀行密碼?！捕?0XX10月,三名犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號,然后登陸該銀行網(wǎng)上銀行網(wǎng)站,嘗試破解弱口令,并屢屢得手；〔三20XX04月—5月,北京地區(qū)使用工商銀行網(wǎng)上銀行的客戶,陸續(xù)有人發(fā)現(xiàn)自己賬戶中的存款被人轉(zhuǎn)移到陌生賬號上,被盜金額從幾百到一萬不等.黑客使用偽造的工商銀行的假網(wǎng)站,用戶登錄虛假網(wǎng)站后,網(wǎng)站的病毒程序會將盜竊來的賬號密碼發(fā)到指定的郵箱?！菜?0XX7月,某市17歲在校生劉某,利用互聯(lián)網(wǎng)傳播"網(wǎng)銀大盜"木馬程序,盜取了134個網(wǎng)民的銀行賬號和密碼,并將他人銀行賬戶上的錢款轉(zhuǎn)到自己的賬戶中,先后共盜取他人存款5萬余元；〔五XX王某趁公司演示網(wǎng)上銀行業(yè)務(wù),快速地記公司賬號及網(wǎng)上銀行客戶卡密碼。并找機會將12萬元資金劃撥到了其事先開立的"楚鑫"賬戶上；二、黑客攻擊原理〔一黑客的動機從黑客行為上劃分,黑客有"善意"與"惡意"兩種,即所謂白帽〔WhiteHat及黑帽〔BlackHat。白帽利用他們的技能做一些善事,而黑帽則利用他們的技能做一些惡事。白帽長期致力于改善計算機社會及其資源,為了改善服務(wù)質(zhì)量及產(chǎn)品,他們不斷尋找弱點及脆弱性并公布于眾。與白帽的動機相反,黑帽主要從事一些破壞活動,從事的是一種犯罪行為。1.好奇心許多黑客聲稱,他們只是對計算機網(wǎng)絡(luò)感到好奇,希望通過探究這些網(wǎng)絡(luò)來更好地了解它們是如何工作的。2.個人聲望通過破壞具有高價值的目標以提高在黑客社會中的可信度及知名度。3.竊取情報在Internet上監(jiān)視個人、企業(yè)及競爭對手的活動信息及數(shù)據(jù)文件,以達到竊取情報的目的。4.金錢有相當一部分的電腦犯罪是為了賺取金錢。〔二黑客攻擊的流程盡管黑客攻擊系統(tǒng)的技能有高低之分,入侵系統(tǒng)手法多種多樣,但他們對目標系統(tǒng)實施攻擊的流程卻大致相同。其攻擊過程可歸納為以下9個步驟：踩點、掃描、查點、獲取訪問權(quán)、權(quán)限提升、竊取、掩蓋蹤跡、創(chuàng)建后門、拒絕服務(wù)攻擊。1.踩點"踩點"原意為策劃一項盜竊活動的準備階段。舉例來說,當盜賊決定搶劫一家銀行時,他們不會大搖大擺地走進去直接要錢,而是狠下一番工夫來搜集這家銀行的相關(guān)信息,包括武裝押運車的路線及運送時間、攝像頭的位置、逃跑出口等信息。在黑客攻擊領(lǐng)域,"踩點"是傳統(tǒng)概念的電子化形式。"踩點"的主要目的是獲取目標的如下信息：〔1因特網(wǎng)網(wǎng)絡(luò)域名、網(wǎng)絡(luò)地址分配、域名服務(wù)器、郵件交換主機、網(wǎng)關(guān)等關(guān)鍵系統(tǒng)的位置及軟硬件信息。〔2內(nèi)聯(lián)網(wǎng)與Internet內(nèi)容類似,但主要關(guān)注內(nèi)部網(wǎng)絡(luò)的獨立地址空間及名稱空間?！?遠程訪問模擬/數(shù)字號碼和VPN訪問點?！?外聯(lián)網(wǎng)與合作伙伴及子公司的網(wǎng)絡(luò)的連接地址、連接類型及訪問控制機制?！?開放資源未在前4類中列出的信息,例如Usenet、雇員配置文件等。2.掃描通過踩點已獲得一定信息〔IP地址范圍、DNS服務(wù)器地址、郵件服務(wù)器地址等,下一步需要確定目標網(wǎng)絡(luò)范圍內(nèi)哪些系統(tǒng)是"活動"的,以及它們提供哪些服務(wù)。與盜竊案之前的踩點相比,掃描就像是辨別建筑物的位置并觀察它們有哪些門窗。掃描的主要目的是使攻擊者對攻擊的目標系統(tǒng)所提供的各種服務(wù)進行評估,以便集中精力在最有希望的途徑上發(fā)動攻擊。掃描中采用的主要技術(shù)有Ping掃射〔PingSweep、TCP/UDP端口掃描、操作系統(tǒng)檢測以及旗標〔banner的獲取。3.查點通過掃描,入侵者掌握了目標系統(tǒng)所使用的操作系統(tǒng),下一步工作是查點。查點就是搜索特定系統(tǒng)上用戶和用戶組名、路由表、SNMP信息、共享資源、服務(wù)程序及旗標等信息。查點所采用的技術(shù)依操作系統(tǒng)而定。在Windows系統(tǒng)上主要采用的技術(shù)有"查點NetBIOS"線路、空會話〔NullSession、SNMP代理、活動目錄〔ActiveDirectory等。4.獲取訪問權(quán)在搜集到目標系統(tǒng)的足夠信息后,下一步要完成的工作自然是得到目標系統(tǒng)的訪問權(quán)進而完成對目標系統(tǒng)的入侵。對于Windows系統(tǒng)采用的主要技術(shù)有NetBIOS擬SMB密碼猜測〔包括手工及字典猜測、竊聽LM及NTLM認證散列、攻擊IISWeb服務(wù)器及遠程緩沖區(qū)溢出。而UNIX系統(tǒng)采用的主要技術(shù)有蠻力密碼攻擊；密碼竊聽；通過向某個活動的服務(wù)發(fā)送精心構(gòu)造的數(shù)據(jù),以產(chǎn)生攻擊者所希望的結(jié)果的數(shù)據(jù)驅(qū)動式攻擊<例如緩沖區(qū)溢出、輸入驗證、字典攻擊等>；RPC攻擊；NFS攻擊以及針對X-Windows系統(tǒng)的攻擊等。5.權(quán)限提升一旦攻擊者通過前面4步獲得了系統(tǒng)上任意普通用戶的訪問權(quán)限后,攻擊者就會試圖將普通用戶權(quán)限提升至超級用戶權(quán)限,以便完成對系統(tǒng)的完全控制。這種從一個較低權(quán)限開始,通過各種攻擊手段得到較高權(quán)限的過程稱為權(quán)限提升。權(quán)限提升所采取的技術(shù)主要有通過得到的密碼文件,利用現(xiàn)有工具軟件,破解系統(tǒng)上其他用戶名及口令；利用不同操作系統(tǒng)及服務(wù)的漏洞〔例如Windows2000NetDDE漏洞,利用管理員不正確的系統(tǒng)配置等。6.竊取一旦攻擊者得到了系統(tǒng)的完全控制權(quán),接下來將完成的工作是竊取,即進行一些敏感數(shù)據(jù)的篡改、添加、刪除及復(fù)制〔例如Windows系統(tǒng)的注冊表、UNIX系統(tǒng)的rhost文件等。通過對敏感數(shù)據(jù)的分析,為進一步攻擊應(yīng)用系統(tǒng)做準備。7.掩蓋蹤跡黑客并非踏雪無痕,一旦黑客入侵系統(tǒng),必然留下痕跡。此時,黑客需要做的首要工作就是清除所有入侵痕跡,避免自己被檢測出來,以便能夠隨時返回被入侵系統(tǒng)繼續(xù)干壞事或作為入侵其他系統(tǒng)的中繼跳板。掩蓋蹤跡的主要工作有禁止系統(tǒng)審計、清空事件日志、隱藏作案工具及使用人們稱為rootkit的工具組替換那些常用的操作系統(tǒng)命令。常用的清除日志工具有zap、wzap、wted。8.創(chuàng)建后門黑客的最后一招便是在受害系統(tǒng)上創(chuàng)建一些后門及陷阱,以便入侵者一時興起時,卷土重來,并能以特權(quán)用戶的身份控制整個系統(tǒng)。創(chuàng)建后門的主要方法有創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號、安裝批處理、安裝遠程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機制及感染啟動文件等。9.拒絕服務(wù)攻擊如果黑客未能成功地完成第四步的獲取訪問權(quán),那么他們所能采取的最惡毒的手段便是進行拒絕服務(wù)攻擊。即使用精心準備好的漏洞代碼攻擊系統(tǒng)使目標服務(wù)器資源耗盡或資源過載,以至于沒有能力再向外提供服務(wù)。攻擊所采用的技術(shù)主要是利用協(xié)議漏洞及不同系統(tǒng)實現(xiàn)的漏洞?！踩诳腿肭旨夹g(shù)目前,在實施網(wǎng)絡(luò)攻擊中,黑客所使用的入侵技術(shù)主要包括以下六種：1.協(xié)議漏洞滲透網(wǎng)絡(luò)中包含著種類繁多但層次清晰的網(wǎng)絡(luò)協(xié)議規(guī)范。這些協(xié)議規(guī)范是網(wǎng)絡(luò)運行的基本準則,也是構(gòu)建在其上的各種應(yīng)用和服務(wù)的運行基礎(chǔ)。但對于底層的網(wǎng)絡(luò)協(xié)議來說,對于安全的考慮有著先天的不足,部分網(wǎng)絡(luò)協(xié)議具有嚴重的安全漏洞。通過對網(wǎng)絡(luò)標準協(xié)議的分析,黑客可以從中總結(jié)出針對協(xié)議的攻擊過程,利用協(xié)議的漏洞實現(xiàn)對目標網(wǎng)絡(luò)的攻擊。2.密碼分析還原密碼分析還原技術(shù)主要分為密碼還原技術(shù)和密碼猜測技術(shù)。對于網(wǎng)絡(luò)上通用的標準加密算法來說,攻擊這類具有很高強度加密算法的手段通常是使用后一種技術(shù)。在進行攻擊的時候,密碼分析還原所針對的對象主要是通過其他偵聽手段獲取到的認證數(shù)據(jù)信息,包括系統(tǒng)存儲認證信息的文件或利用連接偵聽手段獲取的用戶登錄的通信信息數(shù)據(jù)。3.應(yīng)用漏洞分析與滲透任何應(yīng)用程序都不可避免地存在著一些邏輯漏洞,操作系統(tǒng)也不例外,幾乎每天都有人宣布發(fā)現(xiàn)了某個操作系統(tǒng)的安全漏洞。而這些安全漏洞也就成為了入侵者的攻擊對象。通過對這些安全漏洞的分析,確認漏洞的引發(fā)方式以及引發(fā)后對系統(tǒng)造成的影響,攻擊者可以使用合適的攻擊程序引發(fā)漏洞的啟動,破壞整個服務(wù)系統(tǒng)的運行過程,進而滲透到服務(wù)系統(tǒng)中,造成目標網(wǎng)絡(luò)的損失。4.社會工程學(xué)社會工程學(xué)與黑客使用的其他技術(shù)具有很大的差別,它所研究的對象不是嚴謹?shù)挠嬎銠C技術(shù),而是目標網(wǎng)絡(luò)的人員。社會工程學(xué)主要是利用說服或欺騙的方法來獲得對信息系統(tǒng)的訪問。這種說服和欺騙通常是通過和人交流或其他互動方式實現(xiàn)的。5.拒絕服務(wù)攻擊拒絕服務(wù)攻擊最主要的目的是造成被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無法提供服務(wù)。這樣的入侵對于服務(wù)器來說可能并不會造成損害,但可以造成人們對被攻擊服務(wù)器所提供服務(wù)的信任度下降,影響公司的聲譽以及用戶對網(wǎng)絡(luò)服務(wù)的使用。這類攻擊主要還是利用網(wǎng)絡(luò)協(xié)議的一些薄弱環(huán)節(jié),通過發(fā)送大量無效請求數(shù)據(jù)包造成服務(wù)器進程無法短期釋放,大量積累耗盡系統(tǒng)資源,使得服務(wù)器無法對正常的請求進行響應(yīng),造成服務(wù)的癱瘓。6.病毒或后門攻擊計算機病毒檢測與網(wǎng)絡(luò)入侵防御在計算機與網(wǎng)絡(luò)技術(shù)不斷發(fā)展的促進下,出現(xiàn)了需要共同防御的敵人?，F(xiàn)在的病毒不僅僅只是通過磁盤才能傳播,為了適應(yīng)網(wǎng)絡(luò)日益普及的形式,病毒也在自身的傳播方式中加入了網(wǎng)絡(luò)這個可能會造成更大危害的傳播媒介。為了能夠在網(wǎng)絡(luò)上傳播,病毒也越來越多地繼承了網(wǎng)絡(luò)入侵的一些特性,成為一種自動化的軟體網(wǎng)絡(luò)入侵者。它們利用網(wǎng)絡(luò)入侵技術(shù),通過網(wǎng)絡(luò)進行廣泛的傳播滲透,紅色代碼病毒就屬此類。它們利用網(wǎng)絡(luò)入侵的方式,侵入計算機并利用被感染計算機,對周圍的計算機進行入侵掃描以進一步傳播感染其他的計算機。三、黑客攻擊網(wǎng)上銀行的常用手段〔一盜號木馬1.虛假網(wǎng)站和服務(wù)器攻擊黑客首先建立一個酷似網(wǎng)上銀行官方網(wǎng)站的虛假網(wǎng)頁,該網(wǎng)頁誘騙用戶輸入帳號密碼等信息,或者包含用于種植木馬的惡意腳本。然后給假網(wǎng)頁申請一個酷似官方網(wǎng)址的域名,等待用戶由于拼寫錯誤而連接進來；有時黑客也會花幾十元購買一個包含幾百萬郵箱地址的數(shù)據(jù)庫,然后向這些郵箱發(fā)送"釣魚"郵件。郵件內(nèi)容通常包含煞有其事的文字,引誘用戶訪問假網(wǎng)頁。無論哪種欺騙方式,一旦用戶上當受騙,他們的隱私數(shù)據(jù)都會被發(fā)送到黑客那里。2.鍵盤記錄記錄用戶的鍵盤輸入是網(wǎng)上銀行木馬最常用的手段之一。這類木馬一般會監(jiān)視用戶正在操作的窗口,如果發(fā)現(xiàn)用戶正在訪問某網(wǎng)上銀行系統(tǒng)的登錄頁面,就開始記錄所有從鍵盤輸入的內(nèi)容。這種方法很通用也很簡單,用于獲取網(wǎng)上銀行帳號密碼時,效果一直很好。20XX11月的"網(wǎng)銀大盜Ⅱ"木馬,是一個典型的例子,它把幾乎所有的國內(nèi)網(wǎng)上銀行系統(tǒng)都列為盜竊的目標。在測試中,只有少數(shù)提供虛擬鍵盤技術(shù)的登錄系統(tǒng)可以避開它。3.嵌入瀏覽器執(zhí)行多數(shù)網(wǎng)上銀行交易都是通過網(wǎng)頁瀏覽器完成的,嵌入瀏覽器進程中的惡意代碼能夠獲取用戶當前訪問的頁面地址和頁面內(nèi)容,還能夠在用戶數(shù)據(jù)以SSL安全加密方式發(fā)送出去之前獲取它們。利用這種技術(shù)的木馬,通常會動態(tài)改變用戶正在瀏覽的頁面內(nèi)容,比如增加一段用以獲得帳號和密碼然后發(fā)送出去的網(wǎng)頁腳本,或者讓瀏覽器自動打開另外一個惡意的網(wǎng)頁。使用網(wǎng)頁腳本制作的虛擬鍵盤,在對付這類木馬時會完全失效。"網(wǎng)銀大盜"木馬就利用了這種技術(shù),它監(jiān)測到用戶正在訪問某個引用了安全登錄控件的地址時,就會讓瀏覽器自動跳轉(zhuǎn)到另外一個網(wǎng)頁。后者看上去和正常登錄頁面沒什么兩樣,只是沒有任何安全登錄控件的保護。對于那些只對交易對話進行驗證,而沒有對交易過程進行驗證的系統(tǒng),嵌入瀏覽器的惡意代碼甚至可以完全控制一次交易。這樣的交易系統(tǒng)只對用戶身份進行驗證,而在用戶身份確定之后無條件的執(zhí)行任何來自用戶的指令。木馬可以等到用戶驗證通過后再開始工作,攔截用戶的轉(zhuǎn)賬操作,篡改數(shù)據(jù)后發(fā)送給服務(wù)器,服務(wù)器沒有辦法區(qū)分給它發(fā)出轉(zhuǎn)賬指令的是用戶還是木馬,直接執(zhí)行了轉(zhuǎn)賬,木馬再把服務(wù)器返回的信息篡改后顯示給用戶。目前,這種技術(shù)只在國外的一些網(wǎng)上銀行木馬上看到,國內(nèi)尚未發(fā)現(xiàn)這樣的例子。4.屏幕"錄像"有些網(wǎng)上銀行木馬的確會進行"錄像",它們并不會生成體積龐大的視頻文件,而只是在鍵盤記錄的基礎(chǔ)上,額外記錄了用戶點擊鼠標時的鼠標坐標,以及當時的屏幕截圖。黑客根據(jù)這些數(shù)據(jù),可以完全回放出用戶在進行交易時敲擊了哪些鍵、點擊了哪些按鈕、看到了什么結(jié)果。5.竊取數(shù)字文件數(shù)字證書是網(wǎng)上銀行交易的一項重要安全保護措施。有些系統(tǒng)允許用戶把證書保存成硬盤文件,然而這是一個安全隱患。20XX9月,TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔細觀察了某個人銀行系統(tǒng)保存證書的整個流程后,編寫了木馬,他的程序能夠準確識別這個流程的每個步驟,自動記錄必要的數(shù)據(jù),最終再復(fù)制一份證書文件。木馬作者利用盜取的證書和其他必要信息達到非法使用證書的最終目的。6.偽裝窗口20XX,國內(nèi)出現(xiàn)了一系列新的網(wǎng)銀木馬,它們都是TrojanSpy.Banker.yy的變種,感染了很多用戶。這類木馬首先向IE瀏覽器注入一個DLL,用以監(jiān)視當前網(wǎng)頁的網(wǎng)址,同時記錄鍵盤。當發(fā)現(xiàn)用戶輸入了卡號、密碼并進行提交以后,迅速隱藏瀏覽器,彈出自己的窗口。木馬彈出的窗口看上去和在線理財?shù)捻撁娣浅Ｏ嗨?并且包含一些"釣魚"文字：稱由于系統(tǒng)維護需要,用戶必須重新輸入密碼。只有當用戶再次輸入的密碼和最初登錄時的密碼吻合時,木馬才會把密碼發(fā)送給木馬作者?！捕烎~網(wǎng)站網(wǎng)上銀行釣魚網(wǎng)站主要是申請一個與真實網(wǎng)上銀行網(wǎng)站相似的域名,比如1cbc<注意這里是1不是i>此域名將鏈接到黑客偽造的網(wǎng)上銀行頁面,不明真相的用戶訪問該偽裝網(wǎng)站很容易就泄露了自己網(wǎng)上銀行的賬號密碼?！踩矡o線網(wǎng)絡(luò)陷阱在通過公共免費無線網(wǎng)絡(luò)分享好吃的、好玩的、好看的同時,也可能將自己的個人信息"分享"出去。不少網(wǎng)友因使用公共無線網(wǎng)絡(luò)出現(xiàn)過信用卡被盜刷的情況,更有黑客宣稱15分鐘便可以盜取咖啡客銀行賬號和密碼。交通銀行信用卡中心專家表示,目前幾乎任何人都可以設(shè)置熱點。攻擊電腦最簡單的方法之一,就是假裝成一個熱點,等待別人來鏈接。因此,在公共網(wǎng)絡(luò)可刷微博、玩微信、打游戲,但切莫使用公共網(wǎng)絡(luò)進行網(wǎng)上支付、轉(zhuǎn)賬、還款等交易,防止不法分子盜取信息。在手機和電腦上操作網(wǎng)上銀行時,盡量使用銀行官網(wǎng)提供的客戶端,而非網(wǎng)頁版,這樣可以降低登錄釣魚網(wǎng)站的風險。四、防范黑客攻擊網(wǎng)上銀行的幾點建議〔一、加強網(wǎng)上銀行用戶的安全意識雖然用戶的安全意識無法抵御精心制作的木馬,但它在網(wǎng)上銀行木馬防范工作中仍是非常重要的因素。定期檢查安裝微軟安全更新程序、每天升級反病毒軟件的病毒庫、不要輕信不明郵件里面的內(nèi)容、不要隨意在不明網(wǎng)頁上提交自己的網(wǎng)上銀行帳號密碼、給自己計算機的管理員帳號設(shè)置一個不太容易猜出來的密碼,這些聽起來很簡單也很基本的措施,能夠避免感染絕大多數(shù)的網(wǎng)上銀行木馬。但實際情況告訴我們,目前國內(nèi)大多數(shù)用戶仍然沒有做到這些。加強對用戶進行網(wǎng)上銀行交易安全意識的宣傳,是金融業(yè)、網(wǎng)絡(luò)安全業(yè)和媒體共同的責任?！捕?、加強網(wǎng)上銀行交易的安全性自網(wǎng)上銀行交易以來,網(wǎng)上銀行交