swift官網銀行代碼查詢-交易百科

近期，孟加拉國、厄瓜多爾、越南、菲律賓等多個國家的銀行陸續曝出曾經遭遇黑客攻擊并試圖竊取金錢事件，這些事件中黑客都瞄準了銀行間轉賬系統，對相關銀行實施攻擊和竊取。360追日團隊深入分析了截獲的黑客攻擊越南先鋒銀行所使用的惡意代碼樣本，并由此對此次事件中的黑客攻擊技術進行了初步探索。

一、概述

隨著孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件逐漸升溫，針對銀行系統的其他網絡攻擊事件逐一被公開，具體如下表所示：

表 1 針對銀行攻擊事件匯總

通過對相關惡意代碼和攻擊手法的研究，以及其他安全廠商的研究結論，360追日團隊推測針對孟加拉國央行和越南先鋒銀行發起攻擊的幕后組織或許是同一個組織，該組織可能是 所揭秘披露的組織，中國相關機構也是該組織主要攻擊目標之一。

本報告主要就越南先鋒銀行的相關攻擊事件、樣本展開深入分析，暫不深入關聯孟加拉國央行被攻擊事件和組織，對相關事件或組織之間的關聯歸屬分析等，我們在之后的關聯分析報告中會有詳細的介紹。

關于黑客組織

2016年2月25日，黑客組織以及相關攻擊行動由卡巴斯基實驗室、實驗室和等安全企業協作分析并揭露。2013年針對韓國金融機構和媒體公司的攻擊行動和2014年針對索尼影視娛樂公司（Sony ，SPE）攻擊的幕后組織都是組織。

表 2 組織歷史活動相關重大事件節點

二、關于

全稱是 for ，中文名是“環球同業銀行金融電信協會”。1973年5月，由美國、加拿大和歐洲的—些大銀行正式成立組織，其總部設在比利時的布魯塞爾，它是為了解決各國金融通信不能適應國際間支付清算的快速增長而設立的非盈利性組織，負責設計、建立和管理國際網絡，以便在該組織成員間進行國際金融信息的傳輸和確定路由。

目前全球大多數國家大多數銀行已使用系統。的使用，使銀行的結算提供了安全、可靠、快捷、標準化、自動化的通訊業務，從而大大提高了銀行的結算速度。由于的格式具有標準化，目前信用證的格式主要都是用電文。

1. 提供的服務

2. CODE

Code是由該協會提出并被ISO通過的銀行識別代碼，其原名是BIC （Bank Code）。

每個申請加入組織的銀行都必須事先按照組織的統一規則，制定出本行地址代碼，經組織批準后正式生效。 Code由8位或11位英文字母或數字組成。

代碼格式：

各部分的含義如下：

銀行代碼：由四位易于識別的銀行行名字頭縮寫字母構成，如 ABOC、ICBK、CITI 等；

國家代碼：根據國際標準化組織的規定由兩位字母構成，如 CN、HK、GB、US、DE 等；

地區代碼：由兩位數字或字母構成，標明城市，如 BJ、HH、SX 等；

分行代碼：由三位數字或字母構成，標明分行，如 100、010、CJ1、400 等，若表示總行，則使用XXX。

3. 報文

組織根據國際結算業務開展的需要，制定了相關的標準格式的報文，的標準格式分為兩種：

MTs（ Type ，MTs通用表達式為）：n（0～9）表示報文類型，XX表示在n類型中的分類，目前共有10類報文，應用較多的是第1、2、3、5、7、9類型。

MXs：在1999年，組織選擇了XML編碼作為新一代標準，同時決定最終應用新一代以XML為基礎的標準（MXs）， 目前兩種標準共存，MX標準由12類報文組成。

MT報文

根據銀行的實際運作， MT報文共劃分為十大類：

表3 MT報文十大類

報文第1類至第8類均為押類電報，需要使用密押。密押是獨立于電傳密押之外，在代理行之間交換，且僅供雙方在收發電訊時使用的密押。其他兩類屬于不加押報文。

4. 對帳單

范圍

這是由帳戶行發送給開戶行，用來說明所開帳戶上所有發生額詳細情況的報文格式。

準則

域詳述

該域內容必須與前一份該帳戶對帳單報文域“62a”相同。只有當該報文系某一期對帳單的第一分頁，或對帳單沒有分頁，這份報文中該域代號才為“60F”。

業務類型，其出現方式有以下三種：

1. 如系通過報文收付的金額及其費用，其類型表現為：“Snnn”字母“S”后的三位數字即報文格式代號。

2. 如系通過非報文收付的金額及其費用，其類型表現為“Nxxx”字母“N”后的三個字母為下列代碼之一所替換以表示該資金收付的理由：

3. 由本對帳單首次通知開戶人的收付金額（該收付發生在帳戶行，在發送本對帳單之前未曾通知過開戶人），其類型表現為：“Fxxx”。字母“F”后的三個字母必須為適當的代碼以表示該借記或貸記的原由（代碼同2）。

三、攻擊事件分析

1. 整體流程

圖1 整體關系流程

針對越南先鋒銀行的攻擊中，相關惡意代碼內置了8家銀行的 CODE，越南銀行均在這些銀行中設有代理帳戶。目前看到的Fake PDF 樣本目的不是攻擊列表中的這些銀行，而是用來刪除越南銀行與其他家銀行間的轉帳確認（篡改對帳單）。這樣銀行的監測系統就不會發現這種不當交易了。

2. 功能概述

Fake PDF 偽裝成 （福昕PDF閱讀器），原始 .exe被重命名為 .exe，在銀行系統調用打印pdf時激活，將pdf轉換為xml，根據配置文件匹配是否有符合要求的報文，找到匹配的報文修改后轉換回pdf并調用原始的打印。并刪除臨時文件和數據庫的符合條件的交易記錄。

圖2 關系圖

圖3 配置文件格式

3. 案例：對帳單（PDF）詳解

圖4 對帳單（PDF）

上圖是對帳單的PDF版本，圖中就對帳單的關鍵報文域進行了對應的解釋（黑體字所示），另外藍色框是Fake PDF 惡意程序需要判斷和修改的地方（藍色字體是相關具體動作的說明）。

下圖是正常的PDF對帳單和篡改后的PDF對帳單，其中左圖紅色底色部分內容，就是攻擊者想要刪掉帳單記錄和需要修改的帳面余額和有效余額。

圖5 正常PDF對帳單（左圖），篡改后的PDF對帳單（右圖）

4. 技術細節

Fake PDF 分析

圖6 功能流程圖

Fake PDF 程序來自于 PDF SDK，依賴動態庫.dll。

A、讀取配置文件

配置文件使用異或加密，KEY為。路徑為 c:tempWRTU.dat。

圖7 讀取配置文件

B、處理參數

參數個數必須大于等于4個，應該為：“路徑”、“/t”、“pdf路徑”和“打印機ip”。

C、PDF修改

圖8 PDF修改執行流程

圖9 PDF轉XML

圖10 惡意代碼內部預設的 CODE

表4 惡意代碼內部預設的 CODE對應的具體銀行名稱

圖11 刪除臨時文件

D、使用原參數調用真正的.exe

圖12 調用真正的

E、失敗則調用

圖13 調用

F、最后刪除臨時文件

分析

圖14 功能流程圖

根據傳入參數個數進行相關初始化操作，如果有進行初始化操作，如果沒有參數則直接開始執行清除操作；

命令參數格式：'-f -l '

圖15 相關參數格式

進一步進行循環刪除文件中記錄的內容，根據參數格式化一個文件名稱，進行刪除消息文件相關記錄操作。

文件名格式：%s%s_%d%.2d%.2d.txt，第一個%s是從配置文件中讀取的路徑，第二個%s的字符串內容如下，后面的%d依次表示年、月、日。

本文源于網絡整編，如有不妥，請聯系站長刪除處理