Фон
Представители Celer Network заявили 18 августа, что между 3:45 и 6:00 по пекинскому времени некоторые пользователи cBridge были перенаправлены на вредоносные смарт-контракты. Изначально предполагалось, что внешний интерфейс cBridge был взломан в результате DNS-атаки.
В отличие от предыдущих инцидентов взлома межцепных мостов, таких как Nomad, Wormhole, Ronin, Harmony и т. д., эта атака не была вызвана ошибками в смарт-контрактах и межцепочных протоколах или вторжением связанных серверов, а также межсетевыми атаками. Активы сети, заблокированные в cBridge, также находятся в безопасности. В этой атаке хакеры напрямую нацелились на базовую инфраструктуру в архитектуре Интернета за пределами системы Celer и позволили пользователям перекрестной цепочки получить доступ к «фишинговому» интерфейсу пользователя в течение определенного периода времени, обманув базовый протокол маршрутизации Интернета ( BGP). Сеть Celer смогла ограничить ущерб благодаря быстрому реагированию. Это связано с тем, что команда Celer Network имеет круглосуточную систему мониторинга. Их команда обслуживания клиентов смогла выявить проблему и своевременно оповестить сообщество. Команда Celer Network уполномочила группу безопасности SlowMist отреагировать на эту чрезвычайную ситуацию и провести углубленное расследование.
Процесс анализа
Команда Celer Network изначально подозревала атаку DNS, и после общения с ними мы смогли узнать больше о рассматриваемом доменном имени: cbridge-prod2.celer.network. Мы обнаружили, что браузер не сообщал об ошибке сертификата во время атаки. Поэтому наше расследование началось с рассмотрения возможности атаки DNS в первую очередь. (Особая благодарность @greysign1 за помощь в быстрой проверке возможности атаки DNS)
Мы начали с проверки соответствующей информации сертификата:
Судя по всему, сертификат был неожиданно изменен: оригинальный сертификат, выданный Let’s Encrypt, был заменен поддельным сертификатом, выданным GoGetSSL.
GoGetSSL может выдать бесплатный 90-дневный сертификат:
Анализ Сертификата 1: https://crt.sh/?id=7356185959
Ошибка проверки CRL появляется в сертификате в следующее время:
Анализ сертификата 2: https://crt.sh/?id=7356185959
Этот сертификат также имеет ошибку проверки CRL в следующих случаях:
Изучив IP-адрес, сертификат, а также другую информацию, связанную с Сертификатом 1, мы обнаружили, что IP-адрес, связанный с этим сертификатом, — 44.235.216.69.
IP-адрес Сертификата 2 не смог запросить IP-адрес, соответствующий Сертификату 2, что могло быть связано с кратковременностью атаки и неспособностью поисковой системы Интернета собрать соответствующую информацию.
В результате мы сосредоточили наш анализ на данных разрешения IP-адресов для домена cbridge-prod2.celer.network:
IP-адрес 44.235.216.69 был связан с cbridge-prod2.celer.network в течение длительного периода времени.
Вот вопрос: тот факт, что этот IP-адрес, 44.235.216.69, был связан с cbridge-prod2.celer.network в течение длительного периода времени, доказывает, что он принадлежал официальному серверу Celer Network. Это также подтвердила команда Celer Network. Так почему же с этим IP был связан поддельный сертификат?
Поэтому мы начали исследовать AS 44.235.216.69 и обнаружили, что AS, соответствующая этому IP, необычна.
AS16509 объявляет богоны::
Просматривая bogons, мы можем определить, что это обычно тот случай, когда злоумышленник подделывает IP-адрес для выполнения атаки: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum.networklessons.com/t/what-are-bogons/6333
Поскольку AS на 44.235.216.69 демонстрировал аномалии, мы сначала заподозрили, что проблема была в BGP, поэтому мы обратились к Celer Network, чтобы получить IP-адрес атакующего: 54.84.236.100. Мы обнаружили, что AS14618, где находится IP-адрес, также имел исключение. (AS14618 также объявляет богоны)
По совпадению, вышестоящей точкой AS14618 была AS16509 (AS16509 также является AS, где расположен 44.235.216.69). Это предупредило нас о возможности атаки BGP.
В ходе нашего расследования выяснилось, что IP-адрес: 54.84.236.100 был помечен как вредоносный.
Мы собрали соответствующую информацию об IP: 54.84.236.100 в нашем сообществе и обнаружили упоминание о том, что этот IP-адрес связан с другим инцидентом атаки BGP, который произошел еще в 2014 году. Однако, поскольку этот инцидент произошел давно, он может быть уже неактуален.
Затем мы продолжили расследование, изучив записи, оставленные этой атакой BGP:
Отслеживание записи BGP для IP-адреса атаки: 54.84.236.100 показало, что маршрут больше недоступен.
Мы продолжили отслеживать трассировки маршрутизатора BGP для IP-адреса Celer: 44.235.216.69 и смогли найти правильный маршрут.
Затем мы проверили журнал изменений узла BGP: пекинское время: 18.08.2022 2:48 — 18.08.2022 7:48 UTC+8
18.08.2022 в период с 2:48 утра до 7:48 утра по британскому летнему времени было обнаружено большое количество добавлений узлов и удалений записей об изменениях.
Мы продолжили отслеживать журнал изменений AS и обнаружили, что AS14618 ранее имел информацию о маршрутизации 44.235.216.0/24, но затем путь был изменен на Withdrawn, что доказывает следующее:
44.235.216.0/24 в AS14618 раньше был оптимальным путем
Теперь 44.235.216.0/24 в AS14618 больше не является оптимальным путем; он отозван.
(При атаке BGP злоумышленник опубликует оптимальный путь для направления трафика на свой собственный сервер)
Чтобы получить более точные данные, мы использовали следующий bgplay для проверки изменений в путях, связанных с 44.235.216.69, во время атаки.
17.08.2022 мы видим, что в период с 19:19:23 +UTC по 23:19:23 +UTC наблюдались значительные колебания информации о путях маршрутизации BGP.
Это изменение отражается в направлении трафика с 44.235.216.0/24 на AS14618, откуда трафик с 44.235.216.0/24 после атаки выходит через AS16509.
В результате мы полагаем, что данный инцидент, скорее всего, является атакой BGP, где AS14618, по-видимому, является узлом, находящимся под контролем злоумышленника (маршрутизатор AS14618 может иметь проблемы безопасности и может быть использован злоумышленниками), при этом атака длилась около 4 часов.
Атакующий смог привязать Сертификат 1 (поддельный сертификат) к IP-адресу Celer Network: 44.235.216.69, поскольку у атакующего был вредоносный сервер с тем же IP-адресом. Поскольку gogetssl поддерживает http для аутентификации, они могут просто ввести текст, предоставленный gogetssl, на вредоносный сервер. Таким образом, это позволяет привязать Сертификат 1, направив трафик на вредоносный сервер с тем же IP-адресом через атаку BGP. В результате браузер был предупрежден об ошибке сертификата.
Мы определили, что AS14618 контролировался злоумышленником по следующим причинам.
Сначала злоумышленник направил трафик 44.235.216.69 на AS14618, а после атаки перенаправил 44.235.216.69 обратно на AS16509.
IP-адрес атаки: 54.84.236.100 также находится внутри AS14618.
После атаки AS14618 был отозван на 44.235.216.69.
Чтобы ответить на этот вопрос: тот факт, что этот IP-адрес, 44.235.216.69, был связан с cbridge-prod2.celer.network в течение длительного периода времени, доказывает, что он принадлежал официальному серверу Celer Network. Это также было подтверждено командой Celer Network. Так почему же с этим IP был связан поддельный сертификат?
Если вы используете протокол HTTPS для связи, вы не сможете зашифровать/расшифровать данные (включая данные клиент-серверного взаимодействия) без получения закрытого ключа сертификата. Поэтому, чтобы убедиться, что сертификат правильный и иметь возможность провести атаку «человек посередине», злоумышленнику необходимо повторно привязать сертификат, примененный в органе власти, к вредоносному серверу с тем же IP 44.235.216.69. Это позволяет злоумышленнику расшифровать данные клиента и вставить вредоносный код в данные ответного пакета.
Анализ Заключение
Мы расследовали эту атаку совместно с командой Celer Network. Несмотря на то, что это была сложная попытка атаки BGP на Celer Network, при этом злоумышленник подготовил все, начиная от времени атаки, подделки сертификата, контроля AS и других операций.
В конечном счете, мы признаем, что многие проекты уже знают о рисках, связанных с атаками BGP, и приняли соответствующие меры предосторожности. Однако многие все еще не знают, особенно когда речь идет об изменениях сетевого пути, вызванных изменениями AS. Без адекватной подготовки и мер реагирования существует значительный риск дальнейших атак со стороны тех же или других злоумышленников. Поэтому мы настоятельно призываем организации, интернет-провайдеров и провайдеров хостинга серверов осознавать такие риски и координировать защитные стратегии для предотвращения повторения подобных инцидентов. И, как всегда, если вам когда-либо понадобится помощь, свяжитесь с командой безопасности SlowMist.
Вложение
DNS-диаграмма cbridge-prod2.celer.network:
