事情背景

2023 年 9 月 20 日,据慢雾区情报,Balancer.fi 遭受 BGP Hijacking 进犯,拜访该网站的链接后,钱包会遭受垂钓进犯。

Balancer.fi BGP Hijacking攻击分析

慢雾安全团队收到安全情报后当即打开剖析,依据 CloudFlare 的 BGP Origin Hijack-17957 显现,ASNs 受害者列表中包括 Balancer.fi 所属的 AS13335。现在拜访该网站会收到 CloudFlare 的垂钓安全提示。

具体剖析

1. 查询域名为 Balancer.fi 的 DNS 解析记载(https://bgp.tools/dns/balancer.fi)。A 记载中地址为 104.21.37.47 和 172.67.203.244。这两个 IP 地址的所属 BGP AS 区域号为 AS13335,而且该 AS 属于 CloudFlare。

Balancer.fi BGP Hijacking攻击分析

2. 依据 CloudFlare 的记载显现(https://radar.cloudflare.com/routing/anomalies/hijack-17957),AS13335 在 BGP Origin Hijack 进犯的 AS 列表中。

Balancer.fi BGP Hijacking攻击分析

3. 发现 Balancer.fi 的 HTTPS 证书被更换为进犯者的证书。

Balancer.fi BGP Hijacking攻击分析

4. 现在拜访 https://app.balancer.fi 会收到 CloudFlare 的垂钓安全提示。

Balancer.fi BGP Hijacking攻击分析

5. 通过剖析,发现 app.balancer.fi 的前端存在歹意的 JavaScript 代码(https://app.balancer.fi/js/overchunk.js)。

Balancer.fi BGP Hijacking攻击分析

6. 用户运用钱包连接 app.balancer.fi 站点后,歹意脚本会自动判断连接用户的余额并进行垂钓进犯。

Balancer.fi BGP Hijacking攻击分析

7. 通过对歹意的 JS 文件进行剖析,得到以下歹意地址:

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000

0x645710Af050E26bB96e295bdfB75B4a878088d7E

0x0000626d6DC72989e3809920C67D01a7fe030000

慢雾安全团队提示用户,现在针对 Balancer 的 BGP 进犯还在继续进行,请暂时中止拜访 app.balancer.fi 站点,防止遭受进犯。

解决方案

1. 自建监控,监控用户自用网段的 BGP 改变,进行告警;

2. 运用慢雾 MistEye 体系,供给链上链下安全监测服务,具备前后端、证书等信息的监控能力,能够实现监控网页、JS、证书等信息的改变,发现异常实时告警;

3. 采购老练产品,如 Akamai。Akamai 有全球 BGP 动态监控大数据服务,客户能够选择监控自用的特定网段的 BGP 改变,以随时跟进安全问题。

总结

通过慢雾安全团队深化地剖析,该事情为 BGP Hijacking 进犯导致的安全事情。这是针对 Balancer.fi 进行的一次有目的性的 BGP Hijacking 进犯,进犯者选的进犯时刻点、证书假造、AS 控制等操作趁热打铁。

最终需求提示的是,许多运营商已经很清楚 BGP Hijacking 进犯的危险,并为此做了充沛预备。但不少项目方并不是很清楚,特别是对 AS 改变引起的网络途径改变这类危险没有充沛的预备和响应措施,所以将来这类进犯可能会重复出现。因而,慢雾安全团队建议项目方、互联网服务供给商和服务器托管商应该认识到这类事情的危险,并协同防护,防止此类事情再次发生。假如你需求协助,能够联络慢雾安全团队。

此时快讯

【约1小时前,有人从Kraken提取446万美元到一个虚假Coinone挖矿交易所】金色财经报道,Scam Sniffer在其推文中表示,大约1小时前,有人从Kraken提取446万美元到一个假的Coinone加密挖矿交易所,受害者地址为:0x2175c0082d052872501f7fe54e1ac59858aaf7d9;诈骗者地址为:0xf994c143002388E11e9C939b8456dCe9De68a656
0xabb07822f471773ff00b9444308ceeb7cf0daca7。
其中“0xf994c143002388E11e9C939b8456dCe9De68a656”与许多加密货币挖矿诈骗网站相关。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注