positive hack days. Суханов. Мастер-класс: Расследование...
DESCRIPTION
В рамках мастер-класса будут рассмотрены вопросы реагирования на инциденты в системах ДБО и их расследование.TRANSCRIPT
Расследование инцидентов в системах дистанционногобанковского обслуживания (ДБО)
Суханов Максим, [email protected]
Программа мастер-класса
• Общие сведения об инцидентах в системах ДБО.
• Передача платежных поручений с помощью средств
удаленного управления.
• Практическая часть №1.
• Вредоносные программы, ориентированные на системы ДБО.
• Практическая часть №2.
• Восстановление данных при расследовании инцидентов.
• Практическая часть №3.
Используемые программные средства
• CAINE Live CD (криминалистический Live CD на основе Linux):
●The Sleuth Kit
●reglookup
• VirtualBox (виртуальная машина).
Общие сведения об инцидентах
в системах ДБО
Мошенничество в системах ДБО: принципы
1) Неправомерная передача платежных поручений от имени
какой-либо организации.
2) Исполнение платежных поручений.
3) Вывод денежных средств, их легализация.
Борьба с неправомерными операциями
Предотвращениенеправомерной
передачи ПП
Блокированиеисполнения ПП
Противодействиевыводу ДС, ихлегализации
задача ИБ
задача ПМО-систем
задача национальной системы ПОД/ФТ
Расследование инцидентов в системах ДБО
Расследование инцидента
Определениеспособа и следов
передачи ПП
Определениеспособа вывода
и легализации ДС
Путь переводаи обналичивания
ДС
Путьлегализации ДС
Автономные системы, IP-адреса,доменные имена и адреса эл.
почтызлоумышленника
Способы неправомерной передачи ПП
● Вредоносные программы
1. Передача злоумышленнику ключевой и парольной
информации, необходимой для работы в системе ДБО.
2. Изменение реквизитов платежных поручений в момент
передачи (подписания), т. н. «автозалив».
● Средства удаленного управления ЭВМ
1. Формирование платежных поручений с использованием
клиентской части системы ДБО компьютера в организации.
● С помощью сотрудника организации
Способы неправомерной передачи ПП
● Вредоносные программы, семейства:
Shiz, Zeus (Zbot), SpyEye, Carberp и др.
● Средства удаленного управления ЭВМ:
1. TeamViewer
2. Radmin
3. встроенный в ОС Windows RDP-сервер
4. и др.
Маскировка платежных поручений
● Получатель платежа слабо отличается от получателей других
платежных поручений.
● Назначение платежа соответствует виду деятельности
организации и не противоречит характеру других платежных
поручений.
● Передача денежных средств несколькими платежными
поручениями.
Сокрытие следов передачи ПП
● Вывод ОС Windows из строя:
1) Удаление системных файлов.
2) Перезапись первых секторов диска.
➔Сотрудники организации не могут получить доступ к системе
ДБО и обнаружить переданные платежные поручения.
➔Системный администратор переустанавливает ОС, что
приводит к удалению следов мошенничества.
Передача платежных поручений
с помощью средств удаленного
управления
Средства удаленного управления
TeamViewer (www.teamviewer.com)
● Гарантированный обход NAPT.
➔Соединение через промежуточный сервер.
● Идентификатор и пароль для подключения автоматически
передаются злоумышленнику (через дополнительный
программный модуль) на веб-сервер или по протоколу ICQ.
Средства удаленного управления
Radmin (www.radmin.com)
● Программа со стандартными возможностями.
● Отображение значка в области уведомлений отключается.
● Пароль для подключения вводится злоумышленником
заранее (через системный реестр).
Средства удаленного управления
RDP-сервер Windows
● Установлен почти во всех версиях ОС (Windows XP и др.).
➔Серверные версии ОС: возможна одновременная удаленная и
локальная работа учетных записей.
➔Клиентские версии ОС: при удаленном входе отключается
учетная запись локального пользователя.
Средства удаленного управления
RDP-сервер Windows XP
Решение проблемы одновременной работы №1:
●Создание новой учетной записи для удаленной работы.
●Подмена системной библиотеки.
●Внесение изменений в системный реестр.
➔В итоге RDP-сервер Windows XP разрешает одновременную
удаленную и локальную работу учетных записей.
Средства удаленного управления
RDP-сервер Windows XP
Решение проблемы одновременной работы №2:
●Установка и запуск BeTwin Service XP.
«BeTwin 2000/XP is the software that allows multiple users to simultaneously and
independently share a personal computer running Windows 2000 Professional, Windows
XP Professional or Home Edition (32-bit)»
Следы средств удаленного управления
● Некоторые ключи реестра операционных систем Windows.
(директория: «/Windows/System32/config/»)
Практическая часть:
обнаружение следов работы
средств удаленного управления
Вредоносные программы,
ориентированные на системы
ДБО
Вредоносные программы для систем ДБО
Используемые типы вредоносных программ:
●Традиционные троянские программы: Zeus (Zbot) и SpyEye.
●Специализированные троянские программы: Win32.Shiz и
Carberp.
●Малораспространенные троянские программы, написанные по
заказу для ограниченного круга лиц: программы для
«автозалива» в системе ДБО Сбербанка и др.
Вредоносные программы класса Win32.Shiz
Основной функционал:
● Перехват нажатий клавиш.
● Копирование ключевых файлов систем ДБО.
● Копирование URL-адреса системы ДБО.
● Экспорт сертификатов из веб-браузеров.
● Запуск прокси-сервера.
● Удаление всех системных точек восстановления.
● Вывод ОС из строя.
Поддерживают все распространенные системы ДБО и ЭПС!
Вредоносные программы класса Win32.Shiz
В результате злоумышленник может:
● Получить логин и пароль для входа в систему ДБО.
● Получить ключевые файлы для подписания ПП.
● Обойти ограничения доступа в систему ДБО по IP-адресам.
Тенденции развития вредоносных программ
● Применение контркриминалистических методов:
➔Win32.Shiz: удаление точек восстановления, изменение даты
создания файла программы.
➔Carberp: изменение временных меток файлов программы.
● Формирование бот-сетей, состоящих из бухгалтерских ЭВМ.
● Ориентирование на российские системы ДБО и банки.
● Обход типичных методов защиты от неправомерного доступа:
➔Внедрение элементов средств удаленного управления.
➔«Автозалив».
Следы работы вредоносных программ
● Два основных типа следов: исполняемые файлы и способ их
автозапуска.
● Способы автозапуска:➔добавление исполняемых файлов или ссылок на них в пользовательскую
директорию автозапуска;
➔автозапуск программы как сервиса;
➔иные способы автозапуска через системный реестр.
● Другие следы: файлы Prefetch, записи в файлах истории веб-
браузера Internet Explorer, журналы клавиатурного шпиона
вредоносной программы, копии ключевых файлов и т. п.
Автозапуск вредоносной программы «Carberp»
●Программы класса «Carberp» записывают в директорию
автозапуска в профиле пользователя* собственный
исполняемый файл.
●Временные метки этого файла изменяются на временные
метки файла процесса с именем «smss.exe».
* – Windows 7: «/Users/<учетная запись>/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Startup»
Файлы вредоносной программы «Carberp»
Метаданные (NTFS) файлов вредоносной программы:
Следы вредоносной программы «Win32.Shiz»
●Ключ автозапуска в файле реестра типа SOFTWARE:
/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
●Журналы клавиатурного шпиона и копии криптографических
ключей записываются в директорию «/Program Files/Common
Files» или «/Documents and Settings/<учетная
запись>/Application Data» (для новых версий данной вредоносной
программы в Windows XP).
Ключи автозапуска в системном реестре
●Известно большое число ключей, через которые возможен
автозапуск программ.
●Некоторые ключи:
Файлы реестра типа SOFTWARE:
➔/Microsoft/Windows/CurrentVersion/Run
➔/Microsoft/Windows/CurrentVersion/RunOnce
➔/Microsoft/Windows NT/CurrentVersion/Winlogon (параметр «Userinit»)
➔/Microsoft/Windows/CurrentVersion/policies/Explorer/Run
Файлы реестра типа SYSTEM:
➔/ControlSet00X/Services (список системных сервисов и драйверов)
Практическая часть:
обнаружение следов работы
вредоносных программ для
систем ДБО
Восстановление данных при
расследовании инцидентов
Пример: неудачное развитие инцидента
● 1-й день
неправомерная передача ПП,
вывод из строя ОС компьютера бухгалтера.
● 2-й день
системный администратор переустанавливает ОС,
бухгалтер видит неправомерно переданные ПП.
● 3-й день
все в замешательстве.
● 4-й день
обращение в Group-IB.
Неудачное развитие инцидента
Результаты:
●Файлы вредоносной программы удалены.
●Следы работы вредоносной программы удалены.
Решение: восстановление данных!
Принципы восстановления данных
● Восстановление удаленных файлов с использованием
структур файловой системы (если основные структуры
файловой системы не были перезаписаны).
● Восстановление удаленных файлов по заголовкам,
окончаниям и внутренним структурам.
Успешное расследование инцидента
● Восстановление файлов формата portable executable по
заголовкам.➔Извлечение исполняемого файла вредоносной программы.
● Поиск записей клавиатурного шпиона по ключевым словам.➔Обнаружение значимых записей клавиатурного шпиона.
● Восстановление файлов реестра Windows по заголовкам.➔Определение даты и времени установки вредоносной программы.
Практическая часть:
восстановление данных при
расследовании инцидентов
Несколько слов о
Group-IB
Наши услуги
●Реагирование на инциденты ИБ и их расследование.
●Проведение криминалистических исследований и судебных
компьютерно-технических экспертиз.
●Исследование вредоносных программ.
●Правовое сопровождение.
Наши клиенты
Наши партнеры
Есть вопросы?
?