該事件是有目的性的針對 Balancer.fi 進行的 BGP Hijacking 攻擊。
作者:慢霧安全團隊
事件背景
2023 年 9 月 20 日,據慢霧區情報,Balancer.fi 遭受 BGP Hijacking 攻擊,訪問該網站的連結後,錢包會遭受釣魚攻擊。
慢霧安全團隊收到安全情報后立即展開分析,根據 CloudFlare 的 BGP Origin Hijack-17957 顯示,ASNs 受害者清單中包含 Balancer.fi 所屬的 AS13335。 目前訪問該網站會收到 CloudFlare 的釣魚安全提醒。
具體分析
1. 查詢域名為 Balancer.fi 的 DNS 解析記錄(https://bgp.tools/dns/balancer.fi)。 A 記錄中位址為 104.21.37.47 和 172.67.203.244。 這兩個 IP 位址的所屬 BGP AS 區域號為 AS13335,並且該 AS 屬於 CloudFlare。
2. 根據 CloudFlare 的記錄顯示(https://radar.cloudflare.com/routing/anomalies/hijack-17957),AS13335 在 BGP Origin Hijack 攻擊的 AS 清單中。
3. 发现 Balancer.fi 的 HTTPS 证书被更换为攻击者的证书。
4. 目前访问 https://app.balancer.fi 会收到 CloudFlare 的钓鱼安全提醒。
5. 经过分析,发现 app.balancer.fi 的前端存在恶意的 JavaScript 代码(https://app.balancer.fi/js/overchunk.js)。
6. 用户使用钱包连接 app.balancer.fi 站点后,恶意脚本会自动判断连接用户的余额并进行钓鱼攻击。
7. 通过对恶意的 JS 文件进行分析,得到以下恶意地址:
0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000
0x645710Af050E26bB96e295bdfB75B4a878088d7E
0x0000626d6DC72989e3809920C67D01a7fe030000
慢雾安全团队提醒用户,目前针对 Balancer 的 BGP 攻击还在持续进行,请暂时停止访问 app.balancer.fi 站点,避免遭受攻击。
解决方案
1. 自建监控,监控用户自用网段的 BGP 变化,进行告警;
2. 使用慢雾 MistEye 系统,提供链上链下安全监测服务,具备前后端、证书等信息的监控能力,可以实现监控网页、JS、证书等信息的变化,发现异常实时告警;
3. 采购成熟产品,如 Akamai。Akamai 有全球 BGP 动态监控大数据服务,客户可以选择监控自用的特定网段的 BGP 变化,以随时跟进安全问题。
总结
經過慢霧安全團隊深入地分析,該事件為 BGP Hijacking 攻擊導致的安全事件。 這是針對 Balancer.fi 進行的一次有目的性的 BGP Hijacking 攻擊,攻擊者選的攻擊時間點、證書偽造、AS 控制等操作一氣呵成。
最後需要提醒的是,許多運營商已經很清楚 BGP Hijacking 攻擊的風險,併為此做了充分準備。 但不少專案方並不是很清楚,特別是對 AS 變化引起的網路路徑變化這類風險沒有充分的準備和回應措施,所以將來這類攻擊可能會重複出現。 因此,慢霧安全團隊建議專案方、互聯網服務提供者和伺服器託管商應該認識到這類事件的風險,並協同防禦,避免此類事件再次發生。 如果你需要協助,可以聯繫慢霧安全團隊。
延伸閱讀:
https://blog.cloudflare.com/rpki/
https://medium.com/s2wblog/post-mortem-of-klayswap-incident-through-bgp-hijacking-en-3ed7e33de600
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。