Опубликован отчёт (зеркало) Лаборатории Касперского о весьма любопытной хакерской атаке на банки и кредитные организации по всему миру.
Предварительная оценка ущерба говорит о достаточно крупных цифрах – порядка $1 млрд. Изначально прогнозировалось $300 млн.). Ниже я приведу некоторые выжимки и информацию из публичных источников, а так же собственные размышления по этому поводу, чтобы познакомить с информацией тех, кто ещё не в курсе.
Механизм заражения:
Сотруднику банка приходит электронное письмо с вложением, примерно следующего содержания (для русскоязычной и англоязычной публики соответственно):
Сотрудник банка открывает письмо, вложение (CPL-файл, упакованный RAR). В файле реализована эксплуатация нескольких уязвимостей (причём не 0-day, а старых: Microsoft Office (CVE-2012-0158 и CVE-2013-3906), а так же Microsoft Word (CVE-2014-1761)). Заливается, собственно, сам бэкдор Carbanak. В общем, довольно таки классическая атака закачки остального вредоноса.
Далее, зараза распространяется по сети, в поисках компьютеров тех, кто владеет инструментами и привилегиями на модификацию информации, имеющей отношение к банк-клиентам (чаще всего некие администраторы/менеджеры).
Позднее, происходит изучение системы работы этой организации (несколько месяцев), далее оттуда крадутся деньги.
Способы увода денег
Некоторые способы увода денег представлены в этом видеосюжете.
Предположим, имелся счёт с $1,000. Используя банк-клиент злоумышленниками завышалась сумма до $10,000. Лишние $9,000 переводились на другой счёт или выводились через банкоматы (посылалась удаленная команда на выдачу наличных, когда неподалёку находится Дроп – специально подготовленный человек). На счету оставалась та же самая тысяча долларов и вроде бы всё на месте. Тревогу бить вроде бы не с чего. Пока цифры не стали откровенно не сходиться.
Что из себя представляет Carbanak
Carbanak копирует своё тело в “%system32%\com” под именем “svchost.exe“, оригинальный вредонос при этом удаляется.
Так же создается служба для обеспечения автозагрузки на зараженной машине. В качестве имени службы выбирается произвольный сервис, который имеется в системе, в конце приписывается “Sys”.
Перед созданием службы, Carbanak проверяет процессы на предмет наличия там avp.exe или avpui.exe (компоненты антивирусных программ Касперского). Если такие процессы находятся, Carbanak пытается проэксплуатировать уязвимость CVE-2013-3660 для повышения привилегий. Уязвимость существует в ОС Windows XP, Server 2003, 7, 8, Server 2012.
Помимо этого создается файл со случайным именем и расширением .bin в каталоге %COMMON_APPDATA%\Mozilla.
Опубликован BAT-файл для определения заражена ли система:
@echo off
for /f %%a in (‘hostname’) do set “name=%%a” echo %name%
del /f %name%.log 2> nul
if exist “c:\Documents and settings\All users\application data\mozilla\*.bin” echo “BIN detected” >> %name%.log
if exist %SYSTEMROOT%\System32\com\svchost.exe echo “COM detected” >> %name%.log
if exist “c:\ProgramData\mozilla\*.bin” echo “BIN2 detected” >> %name%.log
if exist %SYSTEMROOT%\paexec* echo “Paexec detected” >> %name%.log
if exist %SYSTEMROOT%\Syswow64\com\svchost.exe echo “COM64 detected” >> %name%.log
SC QUERY state= all | find “SERVICE_NAME” | findstr “Sys$”
if q%ERRORLEVEL% == q0 SC QUERY state= all | find “SERVICE_NAME” | findstr “Sys$” >> %name%.log
if not exist %name%.log echo Ok > %name%.log xcopy /y %name%.log “\\\logVirus
Вредонос получает настройки прокси-сервера из реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
а так же из конфигурационного файла %AppData%\Mozilla\Firefox\<профиль>\prefs.js
Carbanak внедряет свой код в системный процесс svchost.exe.
Так же скачивает файл kldconfig.plug со своего командного сервера. Файл содержит имена процессов для мониторинга. Подразумевается, что ищутся процессы банк-клиентов.
Помимо этого Carbanak логирует все нажатия клавиш, а так же делает скриншоты каждые 20 секунд.
Устанавливается возможность подключения удаленного рабочего стола (RDP), для этого служба “Termservice” устанавливается в автоматический режим запуска. Кроме того, изменяются некоторые модули сервиса удаленных подключений (termsrv.dll, csrsrv.dll, msgina.dll и winlogon.exe) для того, чтобы активного пользователя не “вышибало” при коннекте по RDP.
Если на компьютере обнаруживается банк-клиент, на командный сервер посылается уведомление.
Обмен сообщениями с командным сервером происходит по HTTP-протоколу с использованием RC2+Base64 шифрования. В трафик периодически внедряются незашифрованные строки с различными расширениями и случайными данными для отвлечения внимания, например запросы на реально существующие веб-сайты.
Carbanak поддерживает неплохой перечень команд, которые описаны в отчёте на стр.9-10. Вот лишь некоторые из них: исполнение произвольных команд, захват экрана, загрузка дополнительных файлов, загрузка утилиты удаленного администрирования “ammyy admin“, убийство ОС (перезапись бут-сектора, внесение некорректных записей в реестр), перезагрузка ОС, организация туннеля, организация сеанса связи RDP, удаление произвольных служб и файлов, организация VNC-сессии.
Внушительный список, не так ли?
Некоторые модули Carbanak имеют цифровую подпись для усыпления бдительности сторожевых программ.
Финансовые организации каких стран подверглись заражению
По данным VirusTotal (количество загруженных на проверку вредоносных файлов) имеет следующее распределение по странам:
Надо сказать, что эта диаграмма не говорит прямо о том, что у нас в России было наибольшее количество заражений. По крайней мере можно лишь сказать, что наши админы оказались наиболее бдительными.
Схожие цифры нам даёт сеть KSN (Kaspersky Security Network)
Немаловажно так же то, что атаки на финансовые организации начались аж в 2013 году. Но до сих пор о них было мало что известно. Чтож, это вполне объяснимо.
Принимая во внимание способы увода денег, не каждая организация способна признаться в том, что у неё увели $2,5-10 млн. из-за дырявого ПО и некомпетентности сотрудников, открывающих письма и администрирующих сеть.
Какие выводы можем сделать мы?
1. В организациях, где используются финансовые инструменты (банк-клиенты, веб-клиенты и т.д.), нужна жесткая политика безопасности. Особенно это касается открытия писем с вложениями любого характера (Carbanak распространялся через .CPL)
2. Необходимо своевременно обновлять набор установленных программ, внимательно следить за публикуемыми уязвимостями. Вообще этим должен заниматься квалифицированный администратор.
3. В системе необходим постоянный мониторинг работающих служб, процессов. Настроен файрволл, рассчитаны все контрольные суммы системных файлов. Благо для этого есть много нормальных утилит и программно-аппаратных средств.
4. Правильная настройка сети, разграничение доступа.
Вот что касается просто администрирования. Я не беру во внимание сверку финансовых показателей, а только лишь вектора системного администратора. Соблюдение этих (и без того банальных) прописных истин помогло бы избежать значительных финансовых потерь. Вы только вдумайтесь, 2,5-10 миллионов долларов от организации. Уж 1% от этой суммы можно потратить на защиту.
А сейчас, с приходом Интернета почти в каждый офис, это особенно важно.
Comments: