黑客入侵银行全过程

黑客诱导公司雇员将USB Flash Drive 插入公司电脑，借此远程攻击网络。原来同样慨剧情，现实生活中真实上演！

卡巴斯基实验室用了一年时间研究企业网络入侵事件，发现所有入侵事件都有一个共同点：一个未知装置连接到公司内部网络。其中东欧至少有八间银行成为此类型目标，攻击统称「DarkVishnya 」，已造成千万美元损失

卡巴斯基在报告中重现黑客入侵全过程：

第一阶段：攻击者伪冒身分，乔装成快递员、求职人员等潜入目标大厦。趁机将装置连接到内部网络，一般选择会议室等不易被发现的场所。

带插座的高科技桌子非常适合种植隐藏设备

所用到的装置包括：低成本电脑、Raspberry Pi 电脑、Bash Bunny （USB 攻击工具），此类装置通常会被本地网络识别为未知电脑、flash drive 甚至keyboard ，所以好难被察觉。

攻击者再透过装置内的恶意程式，又或是USB 连接GPRS/3G/LTE modem 进行远程访问。

第二阶段：扫描本地网络，寻找可被访问的共享文件夹、Web 服务器等开放资源。目的系获取网络资料，尤其系同支付业务有关的伺服器。然后再试图暴力破解登陆凭证，同时释放shellcode 对抗firewall 。

第三阶段：成功登陆系统后，攻击者就会用远程控制软件留下访问后门，再用msfvenom 创建恶意服务。由于攻击者使用无文件攻击（Fileless Attack ）及PowerShell ，就可以避开whitelisting 及domain policies 。就算避唔过whitelist ，攻击者同样可以用impacket 等可执行文件发起远程攻击。

病毒样本名称

not-a-virus.RemoteAdmin.Win32.DameWare
MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg
HEUR:Trojan.Multi.Powecod
HEUR:Trojan.Win32.Betabanker.gen
not-a-virus:RemoteAdmin.Win64.WinExe
Trojan.Win32.Powershell
PDM:Trojan.Win32.CmdServ
Trojan.Win32.Agent.smbe
HEUR:Trojan.Multi.Powesta.b
HEUR:Trojan.Multi.Runner.j
not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode listeners

tcp://0.0.0.0:5190
tcp://0.0.0.0:7900

Shellcode connects

tcp://10.**.*.***:4444
tcp://10.**.*.**:4445
tcp://10.**.*.**:31337

Shellcode pipes

\.xport
\.s-pipe

全过程一气呵成，物理层面的防护好容易被忽略，企业应注意物理隔离，随时监控公司网络.

文章来源：https://securelist.com/darkvishnya/89169/