Lý lịch
Các quan chức của Celer Network cho biết vào ngày 18 tháng 8 rằng trong khoảng thời gian từ 3:45 đến 6:00 giờ Bắc Kinh, một số người dùng cBridge đã được chuyển hướng đến các hợp đồng thông minh độc hại. Ban đầu, giao diện front-end của cBridge bị nghi ngờ bị xâm phạm bởi cuộc tấn công DNS.
Khác hoàn toàn với các vụ hack cầu xuyên chuỗi trước đây như Nomad, Wormhole, Ronin, Harmony, v.v., cuộc tấn công này không phải do lỗi trong hợp đồng thông minh và giao thức chuỗi chéo hay sự xâm nhập của các máy chủ liên quan và chéo- tài sản chuỗi bị khóa trong cBridge cũng đã được giữ an toàn. Trong cuộc tấn công này, tin tặc nhắm trực tiếp vào cơ sở hạ tầng cơ bản trong kiến trúc Internet bên ngoài hệ thống Celer và cho phép người dùng chuỗi chéo truy cập vào giao diện người dùng đầu cuối “lừa đảo” trong một khoảng thời gian bằng cách đánh lừa giao thức định tuyến cơ bản của Internet ( BGP). Mạng Celer có thể hạn chế thiệt hại do phản hồi nhanh chóng của họ. Điều này là do nhóm Celer Network có hệ thống giám sát 24 giờ. Đội ngũ dịch vụ khách hàng của họ đã có thể xác định vấn đề và cảnh báo cộng đồng kịp thời. Nhóm Celer Network đã trao quyền cho nhóm bảo mật SlowMist để ứng phó với trường hợp khẩn cấp này và tiến hành điều tra chuyên sâu.
Quá trình phân tích
Nhóm Celer Network ban đầu nghi ngờ một cuộc tấn công DNS và sau khi liên lạc với họ, chúng tôi có thể tìm hiểu thêm về tên miền được đề cập: cbridge-prod2.celer.network. Chúng tôi phát hiện ra rằng trình duyệt không báo cáo lỗi chứng chỉ trong cuộc tấn công. Do đó, cuộc điều tra của chúng tôi bắt đầu bằng việc giải quyết khả năng tấn công DNS trước tiên. (Đặc biệt cảm ơn @greysign1 vì đã giúp chúng tôi nhanh chóng kiểm tra khả năng bị tấn công DNS)
Chúng tôi bắt đầu bằng cách xem xét thông tin chứng chỉ có liên quan:
Chứng chỉ dường như đã bị thay đổi một cách bất ngờ, trong đó chứng chỉ gốc do Let's Encrypt cấp đã được thay thế bằng chứng chỉ giả do GoGetSSL cấp.
GoGetSSL có thể cấp chứng chỉ 90 ngày miễn phí:
Phân tích Chứng chỉ 1: https://crt.sh/?id=7356185959
Lỗi Kiểm tra CRL xuất hiện trên chứng chỉ vào thời điểm sau:
Phân tích Chứng chỉ 2: https://crt.sh/?id=7356185959
Chứng chỉ này cũng bị lỗi Kiểm tra CRL vào những thời điểm sau:
Sau khi kiểm tra địa chỉ IP, chứng chỉ cũng như các thông tin khác liên quan đến Chứng chỉ 1, chúng tôi phát hiện ra rằng địa chỉ IP bị ràng buộc bởi chứng chỉ này là 44.235.216.69.
Địa chỉ IP của Chứng chỉ 2 không thể truy vấn địa chỉ IP tương ứng với Chứng chỉ 2, điều này có thể là do thời gian tấn công ngắn và công cụ tìm kiếm Internet không thu thập được thông tin liên quan.
Do đó, chúng tôi tập trung phân tích vào dữ liệu độ phân giải IP cho miền cbridge-prod2.celer.network:
Địa chỉ IP, 44.235.216.69, đã được liên kết với cbridge-prod2.celer.network trong một khoảng thời gian dài.
Đây là câu hỏi: Việc địa chỉ IP này, 44.235.216.69, được liên kết với cbridge-prod2.celer.network trong một khoảng thời gian dài, chứng tỏ rằng nó thuộc về máy chủ Celer Network chính thức. Điều này cũng đã được xác nhận với nhóm Celer Network. Vậy tại sao lại có chứng chỉ giả liên quan đến IP này?
Vì vậy, chúng tôi bắt đầu điều tra AS của 44.235.216.69 và phát hiện ra rằng AS tương ứng với IP này là bất thường.
AS16509 công bố bogon::
Nhìn qua các bogon, chúng tôi có thể xác định rằng đây thường là trường hợp kẻ tấn công giả mạo địa chỉ IP để thực hiện một cuộc tấn công: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklessons.com/t/what-are-bogons/6333
Vì AS tại 44.235.216.69 có biểu hiện bất thường nên trước tiên chúng tôi nghi ngờ rằng sự cố xảy ra với BGP, do đó, chúng tôi đã liên hệ với Mạng Celer để lấy địa chỉ IP của kẻ tấn công: 54.84.236.100. Chúng tôi phát hiện ra rằng AS14618, nơi đặt địa chỉ IP, cũng có một ngoại lệ. (AS14618 cũng công bố bogon)
Thật trùng hợp, thượng nguồn của AS14618 là AS16509 (AS16509 cũng là AS có 44.235.216.69). Điều này cảnh báo chúng tôi về khả năng xảy ra một cuộc tấn công BGP.
Cuộc điều tra của chúng tôi cho thấy IP: 54.84.236.100 bị gắn cờ là độc hại.
Chúng tôi đã thu thập thông tin liên quan về IP: 54.84.236.100 từ cộng đồng của chúng tôi và nhận thấy đề cập đến địa chỉ IP đó có liên quan đến một sự cố tấn công BGP khác xảy ra vào năm 2014. Tuy nhiên, vì sự cố này đã xảy ra cách đây rất lâu nên có thể nó không còn tồn tại nữa. liên quan.
Sau đó, chúng tôi tiếp tục điều tra bằng cách lần theo các hồ sơ do cuộc tấn công BGP này để lại:
Theo dõi bản ghi BGP cho IP tấn công: 54.84.236.100 cho thấy tuyến đường này không còn nữa.
Chúng tôi tiếp tục theo dõi dấu vết bộ định tuyến BGP cho IP của Celer: 44.235.216.69 và có thể tìm ra tuyến đường chính xác.
Sau đó, chúng tôi đã kiểm tra nhật ký thay đổi nút BGP: Giờ Bắc Kinh: 18/8/2022 2:48 sáng — 18/8/2022 7:48 sáng UTC+8
Vào ngày 18/8/2022, khoảng thời gian từ 2:48 sáng - 7:48 sáng BST được phát hiện có một số lượng lớn các nút bổ sung và xóa các bản ghi thay đổi.
Chúng tôi tiếp tục theo dõi nhật ký thay đổi AS và phát hiện ra rằng AS14618 trước đây có thông tin định tuyến 44.235.216.0/24, nhưng đường dẫn sau đó đã được thay đổi thành Đã rút, chứng minh rằng:
44.235.216.0/24 trong AS14618 từng là đường dẫn tối ưu
Hiện tại 44.235.216.0/24 trong AS14618 không còn là đường dẫn tối ưu nữa; nó đã được rút lại.
(Khi cuộc tấn công BGP xảy ra, kẻ tấn công sẽ xuất bản một đường dẫn tối ưu để hướng lưu lượng truy cập đến máy chủ của chính mình)
Để có được dữ liệu chính xác hơn, chúng tôi đã sử dụng bgplay sau để kiểm tra những thay đổi trong đường dẫn liên quan đến 44.235.216.69 trong khoảng thời gian xảy ra cuộc tấn công.
Vào ngày 17/8/2022, chúng ta có thể thấy rằng trong khoảng thời gian từ 19:19:23 +UTC đến 23:19:23 +UTC, đã có sự biến động đáng kể về thông tin của các lộ trình định tuyến BGP.
Sự thay đổi này được phản ánh trong việc điều hướng lưu lượng từ 44.235.216.0/24 đến AS14618, trong đó lưu lượng từ 44.235.216.0/24 đi ra ngoài qua AS16509 sau cuộc tấn công.
Do đó, chúng tôi cho rằng sự cố này có thể là một sự kiện tấn công BGP, trong đó AS14618 dường như là một nút nằm dưới sự kiểm soát của kẻ tấn công (Bộ định tuyến của AS14618 có thể có vấn đề về bảo mật và có thể bị kẻ tấn công khai thác), với cuộc tấn công kéo dài khoảng 4 giờ.
Kẻ tấn công có thể liên kết Chứng chỉ 1 (chứng chỉ giả) với IP của Celer Network: 44.235.216.69 vì kẻ tấn công có một máy chủ độc hại có cùng IP. Vì gogetssl hỗ trợ http để xác thực nên họ chỉ có thể nhập văn bản do gogetssl cung cấp vào máy chủ độc hại. Do đó, có thể liên kết Chứng chỉ 1 bằng cách hướng lưu lượng truy cập đến máy chủ độc hại có cùng IP thông qua tấn công BGP. Kết quả là trình duyệt được cảnh báo về lỗi chứng chỉ.
Chúng tôi xác định rằng AS14618 đã bị kẻ tấn công điều khiển vì những lý do sau.
Kẻ tấn công lần đầu tiên hướng lưu lượng truy cập 44.235.216.69 đến AS14618 và định tuyến 44.235.216.69 quay lại AS16509 sau cuộc tấn công.
IP tấn công: 54.84.236.100 cũng nằm trong AS14618.
Sau cuộc tấn công, AS14618 đã bị rút về 44.235.216.69.
Để trả lời câu hỏi này: Việc địa chỉ IP này, 44.235.216.69, được liên kết với cbridge-prod2.celer.network trong một thời gian dài, chứng tỏ rằng nó thuộc về máy chủ Celer Network chính thức. Điều này cũng đã được xác nhận với nhóm Celer Network. Vậy tại sao lại có chứng chỉ giả liên quan đến IP này?
Nếu bạn sử dụng giao thức HTTPS để liên lạc, bạn không thể mã hóa/giải mã dữ liệu (bao gồm cả dữ liệu liên lạc giữa máy khách/máy chủ) mà không lấy khóa riêng của chứng chỉ. Vì vậy, để đảm bảo chứng chỉ là chính xác và có thể thực hiện cuộc tấn công man-in-the-middle, kẻ tấn công cần phải rebind chứng chỉ được cấp quyền cho máy chủ độc hại có cùng IP 44.235.216.69. Điều này cho phép kẻ tấn công giải mã dữ liệu của khách hàng và chèn mã độc vào dữ liệu của gói phản hồi.
Phân tích Kết luận
Chúng tôi đã điều tra cuộc tấn công này với sự cộng tác của nhóm Celer Network. Mặc dù thực tế đây là một nỗ lực tấn công BGP tinh vi trên Mạng Celer, kẻ tấn công đã chuẩn bị mọi thứ từ thời điểm tấn công, giả mạo chứng chỉ, kiểm soát AS và các hoạt động khác.
Cuối cùng, chúng tôi nhận thấy rằng nhiều dự án đã nhận thức được những rủi ro liên quan đến các cuộc tấn công BGP và đã thực hiện các biện pháp phòng ngừa thích hợp. Tuy nhiên, nhiều người vẫn chưa biết, đặc biệt khi nói đến việc sửa đổi đường dẫn mạng do những thay đổi của AS gây ra. Nếu không có sự chuẩn bị và các biện pháp ứng phó đầy đủ, sẽ có nguy cơ đáng kể về các cuộc tấn công tiếp theo của chính những kẻ tấn công này hoặc của những kẻ tấn công khác. Do đó, chúng tôi kêu gọi các tổ chức, ISP và nhà cung cấp dịch vụ lưu trữ máy chủ nhận ra những rủi ro đó và phối hợp thực hiện các chiến lược phòng thủ để ngăn chặn sự cố tương tự xảy ra lần nữa. Và, như mọi khi, nếu bạn cần hỗ trợ, vui lòng liên hệ với Nhóm Bảo mật SlowMist.
Tập tin đính kèm
Biểu đồ DNS cbridge-prod2.celer.network:
