一、概述
2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件曝光后,我们立即对相关攻击事件的展示溯源分析,就越南先锋银行相关攻击样本,我们形成了技术报告:《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》[1]。
在分析孟加拉国央行和越南先锋银行攻击事件期间,我们发现近期曝光的这4起针对银行的攻击事件并非孤立的,而很有可能是由一个组织或多个组织协同发动的不同攻击行动。另外通过对恶意代码同源性分析,我们可以确定本次针对孟加拉国央行和越南先锋银行的相关恶意代码与Lazarus组织有关联,但我们不确定幕后的攻击组织是Lazarus组织。
另外攻击组织对目标银行作业流程极为熟悉,也就并非短期内所能达到的,我们推测在侦查跟踪环节,攻击者应该针对目标进行了长时间且非常专注的持续性分析。
在对相关攻击事件的分析和剖析过程中,也暴露出诸多银行等金融行业本身的安全问题。如这一系列攻击事件要想达到金钱窃取,前提就需要获得银行本身SWIFT操作权限,而要获得相关权限则首先需要将银行自身网络攻陷。
近年来,针对银行、证券等金融行业的APT 攻击不断出现,尽管目前披露的还只是以境外银行业发生的安全事件为主,但是网络攻击本就是跨国界的,这对于国内银行业的安全防护也敲响了警钟。在过去的安全实践中,我们不止一次发现了国内金融行业曾遭受到了APT 攻击,安全态势并不是天下太平;再结合之前安天移动发布的《针对移动银行和金融支付的持续黑产行动披露——DarkMobileBank 跟踪分析报告》2中所披露的地下黑产针对金融行业最终用户的攻击现状,我们确实有必要 重新审视国内金融行业所面临的安全风险,以及在过去的安全规划与建设基础上创新思路,以应对不断出现的新兴威胁。
二、孟加拉央行攻击事件回顾
1. 背景
2016年2月5日,孟加拉国央行(Bangladesh Central Bank)被黑客攻击导致8100万美元被窃取,攻击者通过网络攻击或者其他方式获得了孟加拉国央行SWIFT系统操作权限,进一步攻击者向纽约联邦储备银行(Federal Reserve Bank of New York)发送虚假的SWIFT转账指令,孟加拉国央行在纽约联邦储备银行上设有代理帐户。纽约联邦储备银行总共收到35笔,总价值9.51亿美元的转账要求,其中30笔被拒绝,另外5笔总价值1.01亿美元的交易被通过。进一步其中2000万美元因为拼写错误(Foundation误写为fandation)被中间行发觉而被找回,而另外8100万美元则被成功转走盗取。
而我们捕获到的这次网络攻击中所使用的恶意代码,其功能是篡改SWIFT报文和删除相关数据信息以掩饰其非法转账的痕迹,其中攻击者通过修改SWIFT的Alliance Access客户端软件的权限检测指令,绕过相关验证。
2. 攻击流程
图 1 evtdiag.exe执行流程
- 步骤1:恶意代码检测是否有进程加载了“dll”模块,进一步修改权限检测指令,绕过验证;
- 步骤2:读取“dat”配置文件,其中包括了transord、日期、C&C等攻击者预设的关键信息;
- 步骤3:“2016年2月5日”是样本在满足其他特定条件后,执行报文篡改操作的触发时间;
- 步骤4:MT900报文篡改,操作打印机,并选择性修改数据库;
- 步骤5:样本执行篡改报文操作时,查询被感染计算机的相关“登录/注销”状态,将相关信息回传C&C服务器;
- 步骤6:监控执行持续到2016年2月6日6:00,之后退出并删除自身的日志、数据以及注册的服务。
选项 | 参数 | 说明 |
无参数 | 1. 配置信息读取(gpca.dat, mcm)
2. 等待JRNL_20160205.JRNL_DISPLAY_TEXT中 出现Login 3. swift账单操作 4. 等待20160206.06清除操作信息,调用 evtsys.exe |
|
-svc | 无 | 注册服务,执行程序主要流程 |
-p | [PRINTER] resume | 恢复PRINTER的运行 |
[PRINTER] pause | 暂停PRINTER的运行 | |
[PRINTER] on | 运行PRINTER | |
[PRINTER] off | 停止PRINTER | |
[PRINTER] queue | 枚举打印任务 | |
-s | [FILENAME] | 修改SWIFT目录下的nroff.exe为rnoff.exe。将[FILENAME]重命名为nroff.exe,目的为使用[FILENAME]劫持nroff.exe |
-r | 无 | 重命名”nroff.exe”为”nroff.exe.bak”,重命名”rnoff.exe”为”nroff.exe,目的是恢复nroff劫持 |
-t | [CMD] | 连接196.202.103.174:80,通过HTTP GET 向”/al?”发送数据,参数为 [CMD] |
-i | 无 | Patch Dll:遍历进程,更改liboradb.dll中0x6A8B6偏移处的内容为9090 |
-u | 无 | Unpatch Dll:遍历进程,更改liboradb.dll中0x6A8B6偏移处的内容为7504 |
-g | [DATE] | 查询SWIFT数据库”JRNL_DATE”表中的”JRNL_DISPLAY_TEXT”字段是否有”Logout”和”Login”信息,输出显示 |
偏移量 | 数据 | 说明 |
0x0 | 0A0B0C0Dh | Magic标记 |
0x4 | 66h | transord个数 |
0x8h – 0x8007 | 00901/0000058500
00901/0000058501 …… |
102个transord(gpca.dat含有)
|
0x8008 | 20160205 | 检查登录日期 |
0x8028 | D:\Alliance\Access\database\bin\sqlplus.exe | swift客户端sqlplus路径 |
0x812C | D:\MESSAGE_PARTNER | printer相关路径 |
0x8230 | D:\Alliance\Access\common\bin\Win32 | -s,-r操作的目录 |
0x8334 | 196.202.103.174 | 远程C&C |

项目 | 操作 | |
60F/60M: | 更改为”60F” | |
Debit/Credit | 如果Amount>0,设为Credit;否则,Debit | |
Amount | “%d_1-”中的”60 Amount” | |
61: | 如果”%d_-”中对应的报文有部分不能在配置信息中查询到, “%d_1-”的”Sender”为”FEDERAL RESERVE BANK”且该笔”61″的交易类型为”RP Purchase”:
计算两个数值:在配置中的数值Money_at,不在配置中的数值总和Money_not. 每笔未知”61″=该笔数值 + Money_at,并添加; “62 Amount” =”60F Amount” + “61 Amount”。 “64 Amount” =”60F Amount” + Money_not。
否则: “62 Amount”等于”60 Amount”中的数值; “61”等于原先金额 “64 Amount”都等于”60 Amount”中的数值; |
|
62F/62M: | 更改为”62F” | |
Debit/Credit | 如果Amount>0,设为Credit;否则,Debit | |
Amount | 使用计算得到的”62 Amount” | |
64: | ||
Debit/Credit | 如果Amount>0,设为Credit;否则,Debit | |
Amount | 使用计算得到的”64 Amount” |
项目 | 操作 | |
19A: Amount | ||
Amount | (“Amount” – “Amount”/100000 – Money_at)* 1.00001 | |
90B: Price | ||
第三行 | (Price – Money_at) |


孟加拉国央行 | 越南先锋银行 |
![]() |
![]() |
![]() |
![]() |
四、总结
1. 相关攻击由一个组织或多个组织协同发起
从对相关攻击事件的战术层面和技术层面的深入分析,我们认为近期曝光的这4起针对银行的攻击事件并非孤立的,而很有可能是由一个组织或多个组织协同发动的不同攻击行动。
2. 攻击组织极为熟悉目标银行作业流程
如越南先锋银行中,从将恶意程序构造伪装成Foxit reader(福昕PDF阅读器)到对MT950对帐单PDF文件的解析和精确的篡改等攻击手法,都反映出攻击者对银行内部交易系统和作业流程非常熟悉。攻击者的攻击意图明确,而且攻击者要如此了解和展开相关攻击行动,事前进行了大量侦查情报收集的工作。
3. 相关恶意代码与Lazarus组织有关联
针对SWIFT攻击事件中与Lazarus组织所使用的相关恶意代码,我们从样本代码层面进行同源性分析,发现其中一个特殊的安全删除函数基本是进行了代码复用。从这一点来看,针对越南先锋银行和孟加拉国央行的攻击应该是与Lazarus组织有一定的联系。
安全删除函数这部分代码能关联到Lazarus组织曾今在2013年发动的darkseoul攻击行动和2014年针对索尼影视娱乐公司的攻击行动,相关攻击行动的IOC(MD5\C&C等)在当时已经被安全机构公开了,也可以理解为安全删除函数这个本身特殊的代码在当时就已经公开了。也就是在此之后,比如2015年、2016年非Lazarus组织的攻击者,也可以轻松的获得安全删除函数的代码并在进行开发其他恶意代码的时候拿来使用。简而言之,如果我们依靠这处安全删除函数,来判定某个恶意代码是否属于Lazarus组织,是不具备强关联性的。
正如我们之前发布的洋葱狗报告(APT-C-03)[18]“第5章 ICEFOG‘重生’:误导?嫁祸?”中提到的观点,我们不排除这有可能是其他组织刻意加入的干扰项。
4. 银行等金融行业本身暴露出诸多安全问题
近期曝光的4起针对银行的攻击事件中,其中2013年的索纳莉银行、2015厄瓜多尔银行确定是由网络进行攻击获得相关转账权限,另外越南先锋银行和孟加拉国央行也是自身环节发生了问题,导致攻击者具备发送SWIFT转账指令的权限。
这明显暴露出银行自身的安全防护薄弱,另外攻击者通过网络攻击就可以获得SWIFT权限,并加以操作,以及攻击者对SWIFT的Alliance Access客户端软件的权限检测指令,绕过相关验证等等,这些都暴露出SWIFT 本身也存在一定问题,如是否在普通的帐号密码验证机制基础上,可以加一些需要依赖物理设备或环境才能进行验证的步骤,这样能大大隔离纯粹来自网络的攻击。
[1] http://bobao.360.cn/learning/detail/2890.html
[2] http://bobao.360.cn/learning/detail/2890.html
[3]https://ibanking.standardbank.com.na/corp/L001/helpfiles/Help_Files/Retail%20Balance%20and%20Transaction%20Information/Del/SWIFTMT940950.htm#MT950
[4] https://www.swift.com/insights/press-releases/swift-statement
[5] https://www.newyorkfed.org/newsevents/statements/2016/0510-2016
[6] https://www.swift.com/insights/press-releases/swift-customer-communication_customer-security-issues
[7] https://www.swift.com/insights/press-releases/gottfried-leibbrandt-on-cyber-security-and-innovation
[8] https://www.swift.com/insights/press-releases/swift-launches-customer-security-programme-to-reinforce-the-security-of-the-global-banking-system
[9] http://bobao.360.cn/learning/detail/2890.html
[10] http://www.reuters.com/article/cyber-heist-swift-idUSL2N18H04S
[11] http://in.reuters.com/article/cyber-heist-bangladesh-exclusive-idINKCN0YG2VV
[12] http://www.symantec.com/connect/blogs/swift-attackers-malware-linked-more-financial-attacks
[13] Operation Blockbuster revealed,https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/
[14] Operation BlockBuster unveils the actors behind the Sony attacks,https://www.alienvault.com/open-threat-exchange/blog/operation-blockbuster-unveils-the-actors-behind-the-sony-attacks
[15] Operation Blockbuster,https://www.operationblockbuster.com/resources/index.html
[16] 2013 South Korea cyberattack,https://en.wikipedia.org/wiki/2013_South_Korea_cyberattack
[17] https://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation
[18] https://ti.360.com/upload/report/file/Operation_OnionDog.pdf
Comments