Tło
Przedstawiciele sieci Celer stwierdzili 18 sierpnia, że między 3:45 a 6:00 czasu pekińskiego, niektórzy użytkownicy cBridge zostali skierowani do złośliwych inteligentnych kontraktów. Początkowo podejrzewano, że interfejs front-end cBridge został skompromitowany przez atak DNS.
Całkowicie różny od wcześniejszych incydentów włamania do mostów cross-chain, takich jak Nomad, Wormhole, Ronin, Harmony itp., ten atak nie był spowodowany błędami w inteligentnych kontraktach i protokołach cross-chain ani intruzją związanych serwerów, a aktywa cross-chain zablokowane w cBridge również zostały zachowane w bezpieczeństwie. W tym ataku hakerzy bezpośrednio celowali w podstawową infrastrukturę w architekturze Internetu poza systemem Celer i pozwolili użytkownikom cross-chain uzyskać dostęp do interfejsu użytkownika „phishingowego” w określonym czasie, oszukując podstawowy protokół routingu Internetu (BGP). Sieć Celer mogła ograniczyć straty dzięki szybkiemu działaniu. To dlatego, że zespół sieci Celer ma 24-godzinny system monitorowania. Ich zespół obsługi klienta był w stanie zidentyfikować problem i powiadomić społeczność w odpowiednim czasie. Zespół sieci Celer upoważnił zespół bezpieczeństwa SlowMist do odpowiedzi na ten nagły przypadek i przeprowadzenia dogłębnego dochodzenia.
Proces analizy
Zespół sieci Celer początkowo podejrzewał atak DNS, a po skontaktowaniu się z nimi, mogliśmy dowiedzieć się więcej o domenie związanej z tym problemem: cbridge-prod2.celer.network. Odkryliśmy, że przeglądarka nie zgłosiła błędu certyfikatu podczas ataku. Dlatego nasze dochodzenie zaczęło się od rozważenia możliwości ataku DNS jako pierwszej. (Szczególne podziękowania dla @greysign1 za pomoc w szybkim sprawdzeniu możliwości ataku DNS)
Zaczęliśmy od przeglądu odpowiednich informacji o certyfikacie:
Wygląda na to, że certyfikat został niespodziewanie zmieniony, gdzie oryginalny certyfikat wydany przez Let's Encrypt został zastąpiony fałszywym certyfikatem wydanym przez GoGetSSL.
GoGetSSL może wydać darmowy certyfikat na 90 dni:
Analiza Certyfikatu 1: https://crt.sh/?id=7356185959
Na certyfikacie pojawia się błąd sprawdzania CRL o następującym czasie:
Analiza Certyfikatu 2: https://crt.sh/?id=7356185959
Ten certyfikat również ma błąd sprawdzania CRL o następujących porach:
Po zbadaniu adresu IP, certyfikatu oraz innych informacji związanych z Certyfikatem 1, odkryliśmy, że adres IP powiązany z tym certyfikatem to 44.235.216.69.
Adres IP Certyfikatu 2 uniemożliwił zapytanie o adres IP odpowiadający Certyfikatowi 2, co może być spowodowane krótkim czasem trwania ataku i niepowodzeniem wyszukiwarki internetowej w zbieraniu odpowiednich informacji.
W rezultacie skupiliśmy naszą analizę na danych o rozwiązywaniu IP dla domeny cbridge-prod2.celer.network:
Adres IP 44.235.216.69 był powiązany z cbridge-prod2.celer.network przez dłuższy czas.
Oto pytanie: Fakt, że ten adres IP, 44.235.216.69, był powiązany z cbridge-prod2.celer.network przez dłuższy czas, dowodzi, że należał do oficjalnego serwera sieci Celer. Zostało to również potwierdzone przez zespół sieci Celer. Dlaczego więc istniał fałszywy certyfikat powiązany z tym IP?
Zaczęliśmy badać AS 44.235.216.69 i odkryliśmy, że AS odpowiadający temu adresowi IP był nietypowy.
AS16509 ogłasza bogony:
Przeglądając bogony, jesteśmy w stanie ustalić, że zazwyczaj jest to przypadek, w którym atakujący podmienia adres IP, aby przeprowadzić atak: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum.networklessons.com/t/what-are-bogons/6333
Ponieważ AS w 44.235.216.69 wykazywał anomalie, najpierw podejrzewaliśmy, że problem dotyczy BGP, dlatego skontaktowaliśmy się z siecią Celer, aby uzyskać adres IP atakującego: 54.84.236.100. Odkryliśmy, że AS14618, w którym znajduje się ten adres IP, również miał wyjątek. (AS14618 również ogłasza bogony)
Przypadkowo, upstream AS14618 był AS16509 (AS16509 to również AS, w którym znajduje się 44.235.216.69). To zwróciło naszą uwagę na możliwość ataku BGP.
Nasze dochodzenie ujawniło, że IP: 54.84.236.100 został oznaczony jako złośliwy.
Zebraliśmy odpowiednie informacje na temat IP: 54.84.236.100 z naszej społeczności i znaleźliśmy wzmiankę o tym, że ten adres IP był związany z innym incydentem ataku BGP, który miał miejsce w 2014 roku. Jednak ponieważ ten incydent miał miejsce dawno temu, może już nie być istotny.
Następnie kontynuowaliśmy nasze dochodzenie, śledząc ślady pozostawione przez ten atak BGP:
Śledzenie rekordu BGP dla atakującego IP: 54.84.236.100 ujawniło, że trasa nie jest już dostępna.
Kontynuowaliśmy śledzenie śladów routera BGP dla IP Celer: 44.235.216.69 i udało nam się znaleźć właściwą trasę.
Następnie sprawdziliśmy dziennik zmian w węźle BGP: Czas w Pekinie: 18/08/2022 2:48 AM — 18/08/2022 7:48 AM UTC+8
W dniu 18/08/2022, w okresie między 2:48 AM a 7:48 AM BST, stwierdzono dużą liczbę dodatków i usunięć rekordów zmian w węzłach.
Kontynuowaliśmy monitorowanie dziennika zmian AS i odkryliśmy, że AS14618 wcześniej miał informacje o routingu 44.235.216.0/24, ale ścieżka została następnie zmieniona na Wycofaną, co dowodzi, że:
44.235.216.0/24 w AS14618 kiedyś była optymalną ścieżką
Teraz 44.235.216.0/24 w AS14618 nie jest już optymalną ścieżką; została Wycofana.
(Kiedy występuje atak BGP, atakujący publikuje optymalną ścieżkę, aby skierować ruch na swój własny serwer)
Aby uzyskać dokładniejsze dane, użyliśmy następującego bgplay, aby sprawdzić zmiany w ścieżkach związanych z 44.235.216.69 w czasie ataku.
W dniu 17/08/2022, mogliśmy zobaczyć, że w okresie między 19:19:23 +UTC a 23:19:23 +UTC, wystąpiły znaczące wahania w informacjach o ścieżkach routingu BGP.
Ta zmiana jest odzwierciedlona w kierowaniu ruchu z 44.235.216.0/24 do AS14618, gdzie ruch z 44.235.216.0/24 wychodzi przez AS16509 po ataku.
W wyniku tego rozważamy, że ten incydent jest prawdopodobnie wydarzeniem ataku BGP, w którym AS14618 wydaje się być węzłem pod kontrolą atakującego (Router AS14618 może mieć problemy z bezpieczeństwem i może być wykorzystywany przez atakujących), a atak trwał około 4 godziny.
Atakujący był w stanie powiązać Certyfikat 1 (fałszywy certyfikat) z IP sieci Celer: 44.235.216.69, ponieważ atakujący miał złośliwy serwer o tym samym IP. Ponieważ gogetssl obsługuje http do uwierzytelniania, mogą po prostu wprowadzić tekst dostarczony przez gogetssl na złośliwym serwerze. W ten sposób możliwe było powiązanie Certyfikatu 1, kierując ruch na złośliwy serwer o tym samym IP poprzez atak BGP. W rezultacie przeglądarka zgłosiła błąd certyfikatu.
Ustaliliśmy, że AS14618 był kontrolowany przez atakującego z następujących powodów.
Atakujący najpierw skierował ruch 44.235.216.69 do AS14618, a po ataku przekierował 44.235.216.69 z powrotem do AS16509.
Atak IP: 54.84.236.100 znajduje się również w AS14618.
Po ataku AS14618 został Wycofany do 44.235.216.69.
Aby odpowiedzieć na to pytanie: Fakt, że ten adres IP, 44.235.216.69, był powiązany z cbridge-prod2.celer.network przez dłuższy czas, dowodzi, że należał do oficjalnego serwera sieci Celer. Zostało to również potwierdzone przez zespół sieci Celer. Dlaczego więc istniał fałszywy certyfikat powiązany z tym IP?
Jeśli używasz protokołu HTTPS do komunikacji, nie możesz szyfrować/odszyfrowywać danych (w tym danych komunikacji klient/serwer) bez uzyskania klucza prywatnego certyfikatu. Aby więc upewnić się, że certyfikat jest poprawny i móc przeprowadzić atak typu man-in-the-middle, atakujący musi ponownie powiązać certyfikat zastosowany w organie z złośliwym serwerem o tym samym IP 44.235.216.69. To umożliwia atakującemu odszyfrowanie danych klienta i wstawienie złośliwego kodu do danych pakietu odpowiedzi.
Wniosek analizy
Zbadaliśmy ten atak we współpracy z zespołem sieci Celer. Mimo że był to wyrafinowany prób ataku BGP na sieć Celer, atakujący przygotował wszystko, od czasu ataku, fałszowania certyfikatu, kontroli AS, po inne operacje.
Ostatecznie uznajemy, że wiele projektów już jest świadomych ryzyk związanych z atakami BGP i podjęło odpowiednie środki ostrożności. Jednak wiele osób nadal nie jest świadomych, szczególnie w przypadku modyfikacji ścieżek sieciowych wywołanych zmianami AS. Bez odpowiedniego przygotowania i środków reagowania istnieje znaczne ryzyko dalszych ataków ze strony tych samych lub innych atakujących. Dlatego wzywamy organizacje, ISP i dostawców hostingu serwerów do uznania takich ryzyk i koordynacji strategii obronnych, aby zapobiec podobnym incydentom w przyszłości. I, jak zawsze, jeśli kiedykolwiek potrzebujesz pomocy, skontaktuj się z zespołem bezpieczeństwa SlowMist.
Załącznik
Wykres DNS cbridge-prod2.celer.network:
