某企业QQ币被盗刷事件 - APT防御产品

某企业QQ币被盗刷事件

201515日上午10点左右,南京东巽有限公司接到某公司的求助电话,求助人声称该公司的QQ币兑换业务异常,初步判断可能存在黑客攻击导致被大量盗刷,损失严重。

南京东巽有限公司立即成立应急响应小组启动应急预案,亲临事发现场,针对此次事件展开调查。

首先,联系运维人员了解整个业务流程,同时收集数据库兑换记录,发现短时间内同一QQ号码存在过万次的兑换记录,而且存在相同兑换码在相同时间多次兑换成功记录。充值页面有验证码,人工操作根本无法完成,恶意攻击者肯定开发了自动化攻击工具,并且兑换页面肯定存在漏洞。

接着,测试兑换页面,发现验证码使用了异步请求刷新机制,攻击者可以不提交刷新请求,从而直接绕过验证码的限制。利用这个漏洞,可以实现短时间内提交大量的兑换请求。但为什么同一个兑换码会出现多次成功充值的记录呢?带着这个疑问,我们联系网站开发人员进行源代码分析。

经过仔细的分析,发现兑换请求缺少在竞争条件下的处理流程,如果同一时间提交多个相同的兑换请求,都会兑换成功。

至此,此次事件的产生的原因已真相大白,接着对攻击者进行了网络追踪。经过几个小时的调查、分析、取证,针对此次事件得出如下结论:

吴某是这次事件的主谋,他对整个QQ币兑换流程非常了解,不仅对自己的QQ号进行大量的兑换操作,还将攻击技术在互联网上以收徒方式进行贩卖,获取利益的最大化。他非常了解黑产运营基本手段,其背后应该隐藏着一支专业的、有组织的黑客组织,长期通过挖掘互联网漏洞获取非法利益。

鉴于该公司当前的网络安全现状,避免重蹈覆辙,我们对充值码的整个生命周期进行梳理,并对该公司的核心业务进行了一次全方位的体检,发现存在诸多安全隐患,如下:

1. 同一套充值码存储于多个业务系统(包括第三方运营商)中,无任何同步验证机制,任何一个流通环节出现问题,即可导致公司蒙受巨大损失。

2. 兑换业务服务器上同时部署多个应用系统,其中一个业务系统本身存多个高危漏洞,恶意攻击者可以通过该漏洞直接获取服务器管理权限,获取服务器上的充值码。

3. 兑换业务服务器早在2011年就已经被植入网页木马,当前依然可以被正常连接(即远程控制服务器)。

针对此次事件及最近几年的安全事件,我们不难发现,网络安全问题日益突出,它不仅给我们的生活、学习和工作带来了巨大不便,与此同时,它也给我们带来了巨大经济损失,甚至危及我们的人身安全和国家安全。各行各业有必要加强网络安全教育,提升网络安全意识,构建一个公平公正的网络空间。作为一个专业从事网络安全的网络公司,我们有责任,也有义务保护我们每个人、每个企业,为国家的网络安全奉献出自己的力量。


转载请注明出处 APT防御产品 » 某企业QQ币被盗刷事件

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址