BIS Journal №2(9)/2013

6 мая, 2013

Угрозы в системах ДБО и методы борьбы с фродом

Большинство краж денежных средств, осуществляемых удалёнными злоумышленниками, связаны с использованием технологичного вредоносного ПО, так называемых банковских троянов.

 

БОТНЕТЫ И ТРОЯНЫ

Несмотря на то, что проблема электронного мошенничества носит всемирный масштаб, конкретные параметры и вид угроз могут значительно меняться от региона к региону. Так, наиболее распространенными семействами банковских троянов, применяемых для атак на пользователей банковских систем в России, являются Shiz, Hodprot, Carberp и RDPdoor.

Трояны обычно распространяются через уязвимости в браузерах, их надстройках и программах для просмотра офисных документов, в частности Adobe Reader. Вредоносное ПО может инфицировать уязвимые устройства и компьютеры практически на любой платформе, но основная часть случаев распространения данного ПО приходится на компьютеры под управлением ОС Windows. После инфицирования компьютера злоумышленник получает доступ к конфиденциальной информации, вводимой пользователем и хранимой на данном устройстве.

Особую ценность для злоумышленников имеют данные, позволяющие получить доступ к электронным финансовым системам и конфиденциальной информации:

  • логины/пароли и ключи доступа к системам ДБО;
  • данные, утекшие с корпоративных доменов и диапазонов IP-адресов: корпоративные e-mail аккаунты, доступы к внутренним ресурсам и т.д.

Помимо похищения вводимых данных и хранимых на компьютере файлов, банковские трояны часто обладают рядом дополнительной функциональности:

  • Возможность удаленного подключения к зараженному компьютеру с обходом корпоративных файрволов.
  • Изготовление и передача на управляющий сервер снимков экрана.
  • Подмена данных в отправляемых платежных поручениях и интерфейсах подтверждения этих поручений.
  • Внедрение в интерфейс банковских приложений новых элементов и полей с целью сбора конфиденциальной информации (одноразовые пароли, секретные слова и т.д.).

Поскольку злоумышленникам необходимо агрегировать собираемую с тысяч зараженных машин информацию, инфицированные компьютеры объединяются в сети, называемые бот-сетями или «бот-нетами». Данные при этом передаются на управляющие сервера, которые осуществляют хранение и обработку информации.

Управляющих серверов практически всегда несколько и они могут находиться в различных дата-центрах и даже странах для минимизации риска потери информации. Кроме этого, сам интерфейс доступа к ним может быть довольно запутанным: применяются так называемые сервера-прокладки, осуществляющие туннелирование трафика через разнообразные протоколы до целевых серверов. Обращение же к этим серверам-прокладкам часто производится через доменные имена, при этом каждый троян имеет свой собственный алгоритм генерации новых возможных доменных имен на случай блокирования текущих доменов.

АНАЛИЗ И МОНИТОРИНГ БОТСЕТЕЙ

Одним из наиболее эффективных способов предотвращения хищений из систем ДБО является мониторинг ботнетов и андеграундных площадок на предмет выявления скомпрометированной пользовательской информации. Своевременное выявление скомпрометированных пользователей позволяет вовремя блокировать похищенные учетные записи, изменять параметры доступа и информировать клиентов о факте заражения их рабочих станций.

Технически процесс мониторинга и перехвата данных в бот-сетях – довольно сложная и трудоемкая процедура, требующая высокой технологической компетенции и скоординированной работы множества людей. Одним из главных способов извлечения данных из бот-сетей является процесс, называемый Sink Holing и осуществляемый в несколько этапов.

  1. Выявление нового ботнета с помощью распределенной сети ловушек – специально созданных уязвимых компьютеров, обычно существующих в виде виртуальных машин.
  2. Извлечение образца распространяемого вредоносного ПО и его анализ.
  3. Извлечение алгоритма доступа к управляющим серверам.
  4. Регистрация пула доменных имен по установленному алгоритму.
  5. Отключение (блокирование) всех доменов, используемых злоумышленником для управления данным ботнетом.
  6. Сбор данных о скомпрометированных клиентах и удаление вредоносного ПО с зараженных компьютеров.
  7. Получение доступа к хранилищу логов, анализ информации и передача данных по скомпрометированным пользователям владельцам интеллектуальной собственности.

Кроме мониторинга бот-сетей, огромную роль в предотвращении хищений играет также проактивная разведка на андеграундных площадках – закрытых хакерских сообществах, где злоумышленники продают разнообразные похищенные данные или обмениваются ими. Мониторинг этой активности позволяет выявлять следующие группы скомпрометированной информации:

  • логины/пароли и ключи пользователей систем ДБО;
  • скомпрометированные кредитные карты: текстовую информацию для операций без предъявления карты и информацию с магнитных полос, которая позволяет изготавливать физические дубликаты карт;
  • информация о «дропах» – первичных получателях похищаемых денежных средств;
  • общие сведения об используемых схемах хищений денежных средств и тенденции в этой области.

РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ФРОДУ

Компания Group-IB, лидер в области предотвращения и расследования высокотехнологичных преступлений, за годы работы накопила значительный практический опыт по расследованию и предотвращению хищений из систем ДБО.

В качестве коммерческого решения для борьбы с фродом компания предлагает своим клиентам облачный сервис ботнет-мониторинга и киберразведки Group-IB Bot-Trek (www.group-ib.ru/bot-trek).

Сервис предоставляет финансовым организациям прямой доступ к скомпрометированным данным и идентификаторам их клиентов, которые удалось выявить в ходе анализа сетей зараженных компьютеров и андеграундных площадок. Особенную важность в части предотвращения мошенничеств и денежных хищений имеют следующие данные:

  • логины/пароли и ключи систем ДБО;
  • скомпрометированные кредитные карты.
  • информация о «дропах» – первичных получателях похищаемых денежных средств;
  • IP-адреса заражённых вредоносным ПО клиентов;
  • IP-адреса socks-, spam- и DoS-ботов;
  • данные, ассоциированные с корпоративными доменами и диапазонами IP: корпоративные e-mail аккаунты, доступы к intranet-ресурсам и т.д.

Эффективность системы Bot-Trek обусловлена уникальными технологиями Group-IB и доступом к большому числу источников данных, таких как:

  • Распределенная сеть ловушек HoneyNet, состоящая из уязвимых виртуальных компьютеров, постоянно анализирующих Интернет на предмет распространяемого вредоносного ПО.
  • Продвинутая технология Sink Holing, позволяющая извлекать из бот-сетей информацию о скомпрометированных пользователях.
  • Проактивная разведка и сбор данных на андеграундных площадках.
  • Исследования вредоносного ПО и собственная БД образцов.
  • База данных фишинговых сайтов.
  • Результаты предыдущих расследований хищений и мошенничеств.

Извлекаемые из бот-сетей данные автоматически расшифровываются и проходят через несколько этапов обработки, в ходе которых информация деперсонифицируется и группируется. Извлеченные и обезличенные данные тщательно изолируются, в результате чего доступ к ним имеет только непосредственный владелец интеллектуальной собственности, который получает немедленную нотификацию по факту обнаруженной компрометации.

Group-IB Bot-Trek – это облачное SaaS-решение, не требующее внедрения какого-либо дополнительного аппаратного или программного обеспечения в инфраструктуру предприятия. Использование сервиса возможно в двух режимах: через защищенный web-интерфейс для ручного поиска и экспортирования данных либо при помощи API для интеграции и автоматической работы с источником данных. Таким образом, система обеспечивает достаточно простую интеграцию с уже существующими антифрод-, IDS-, IPS- и SIEM-решениями.

СТАТИСТИКА ЗА 2012 ГОД

В рамках сотрудничества с ведущими коммерческими банками РФ, сервис ботнет-мониторинга Group-IB Bot-Trek подтвердил свою востребованность и эффективность. Всего за неполный год работы сервиса было зафиксировано более 30 тысяч случаев компрометации данных пользователей систем ДБО, о чём было направлено 154 оповещения в 30 коммерческим банков, осуществляющих коммерческую деятельность на территории Российской Федерации.

 

Шерлок Холмс в информационном обществе

Эксперты Group-IB помогают расследовать хищения в системах ДБО и оформлять юридически значимые доказательства

Поимка правоохранительными органами в 2012 году 6 членов преступной группировки Carberp, похитившей через системы дистанционного банковского обслуживания более 110 млн рублей у клиентов многих российских и зарубежных банков, стала значимым прецедентом успешной борьбы с кибермошенничеством в России. Существенную роль в расследовании и сборе доказательной базы сыграли эксперты IT-криминалисты компании Group-IB.

Расследование массовых хищений вели Управление «К» при участии других подразделений МВД России и Центра информационной безопасности ФСБ России. Специалисты ОАО «Сбербанк России», у клиентов которого похитили более 13 млн рублей, изъявили готовность профинансировать сложные криминалистические IT-экспертизы. Эту работу выполнили сотрудники Group-IB одной из ведущих компаний, оказывающих экспертные услуги в ходе расследования инцидентов информационной безопасности и компьютерных преступлений.

Банки предоставляли данные об инцидентах, оперативные сотрудники правоохранительных органов отслеживали перемещение похищенных средств, специалисты Group-IB проводили криминалистические экспертизы. Благодаря многомесячной совместной работе многочисленные разрозненные факты удалось выстроить в единую картину.

Вначале был выявлен организатор преступной группы, который управлял специализированной банковской бот-сетью. Затем обнаружены серверы управления и факты манипулирования трафиком популярных сайтов для заражения вредоносными программами компьютеров − рабочих мест клиентов ДБО. Экспертизы, проведенные в Лаборатории компьютерной криминалистики Group-IB, однозначно подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdp-door для хищений денежных средств.

Высокая квалификация экспертов Group-IB как в информационных технологиях, так и в юридических вопросах позволила восполнить отсутствие в Уголовно-процессуальном кодексе РФ определения цифровых доказательств. В качестве нормативных документов были использованы методические рекомендации МВД России по производству компьютерно-технических экспертиз. В результате были документально оформлены ключевые эпизоды деятельности членов преступной группировки Carberp.

Эксперты Group-IB имеют сертификацию такую же, как специалисты Экспертно-криминалистического центра МВД РФ (ЭКЦ МВД России). На основании результатов комплексного криминалистического исследования можно заводить уголовное дело, они также принимаются и в суде. До 70% экспертиз для правоохранительных органов лаборатория делает бесплатно, разгружая экспертно-криминалистический центр МВД России.

По сути, специалисты Group-IB работают в формате частных IT-детективов и собирают «цифровые доказательства» в формате, который гарантированно принимается правоохранительными и судебными органами в ходе разбирательства. Это − прекрасная помощь в проведении доследственной проверки для возбуждения уголовного дела. В Group-IB обращаются не только клиенты, у которых были похищены деньги через систему ДБО, но и банки.

Сотрудники служб информационной безопасности банков ценят подключение профессиональных IT-криминалистов к расследованию, чем раньше, тем лучше. В Group-IB обращаются и те, кто проводит расследование инцидентов самостоятельно, за помощью в юридически значимом оформлении материалов или при обращении в правоохранительные органы.

Смотрите также