Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 109
Примечание от переводчика: текст отчасти странно построен (например, справка про «Лабораторию Касперского» внезапно вклинивается в слова о другом), но из песни слова не выкинешь, в переводе все дано точно как The New York Times написали.
да, интересная врезка, можно прочесть и не заметить подлога, а в подсознании отложится :)
Если бы эти таланты, да в нужное русло. Ведь 100% ребята наши «гуские». :( Ех. Кулибины, злые гении.
… взломщики были очень терпеливы, разместив следящее ПО в компьютеры и системных администраторов и наблюдая за их действиями месяцами.Очень опасные взломщики! Даже самих сисадминов смогли заразить!
// не исправляйте, красиво получилось :-D
А в «Лаборатории Касперского» не уточнили на какой ОСи работали зараженные компьютеры и банкоматы?
В тексте NY Times об этом ничего не говорится, но, поскольку «Лаборатория» присутствует на Хабре, возможно, как раз тут в комментариях что-то пояснит.
Призываем Kaspersky_Lab
Вызывали? :)
Технические детали будут завтра во второй половине дня, следите на Securelist.com. У нас завтра большое мероприятие начинается, на котором в том числе будем рассказывать и про это исследование.
Технические детали будут завтра во второй половине дня, следите на Securelist.com. У нас завтра большое мероприятие начинается, на котором в том числе будем рассказывать и про это исследование.
В банкоматах в 90% случаев — винда.
В банках на рабочих местах в 90% случаев — винда.
Теперь угадайте. :)
Собственно по этому и расхлёбываем.
В банках на рабочих местах в 90% случаев — винда.
Теперь угадайте. :)
Собственно по этому и расхлёбываем.
Да я и не сомневаюсь. Просто интересно, кто нибудь задумается о смене ОСи на более безопасную, а админов на более квалифицированных, или опять начнется поиск козла отпущения?
Ну когда MS отказалась XP поддерживать, вроде часть банков задумалось о использовании Linux на банкоматах… я про это даже новость читал, но сейчас ссылку уже не дам.
Но боюсь это слишком большие расходы к которым они просто не готовы. Пока дешевле видимо утечки.
Но боюсь это слишком большие расходы к которым они просто не готовы. Пока дешевле видимо утечки.
админов на более квалифицированных
Вот это будет и дешевле и полезнее, чем ОС менять.
Толку если банкоматы живут на версиях Windows у которых закончилась поддержка? Да и MS особо не отличалась скоростью латания дыр.
Болезнь толстых безлимитных каналов.
А проверка всё равно на совести it-шников останется.
Во многих банках, безусловно, они грамотные. И служба безопасности не зря свой хлеб кушает. Но ведь не во всех же такая ситуация.
Где-то СБ — дубовые ребята из бывших сотрудников органов и иже с ними, it-шники безответственны. Чем не готовая почва для проращивания вот таких вот проблем? Уверен, что это не единичное явление.
А проверка всё равно на совести it-шников останется.
Во многих банках, безусловно, они грамотные. И служба безопасности не зря свой хлеб кушает. Но ведь не во всех же такая ситуация.
Где-то СБ — дубовые ребята из бывших сотрудников органов и иже с ними, it-шники безответственны. Чем не готовая почва для проращивания вот таких вот проблем? Уверен, что это не единичное явление.
о смене ОСи на более безопаснуюДа как вы еще не поймете, что во первых безопасность большей частью зависит от кривизны рук админа, а во вторых — в случаях таргетированных атак глубоко фиолетово на то, какая ОС стоит, главное что дыры есть во всех и если на кону большие деньги — эти дыры найдут хоть в калькуляторе.
Хотя скорее просто тролль.
Большинство взломов использует т.н. человеческий фактор. Дыры в ОС составляют небольшой процент. Так что это не поможет.
Думаете директору банка обязателен root доступ?
Обязателен. Потому что иначе его любимая игрушка не стартует. А объяснять, что это плохо влияет на безопасность вы будете кому-то, кто не может вас уволить.
У меня был случай когда безопасники, не ИТ, а обычные сперва ходили и всем заклеивали USB разьемы. А потом сами же вставляли завирусованную флешку какогото своего «друга», который им новую базу проблемников принес.
Не встречал игр, которые не запускаются без рутового доступа.
Старая игра, которая зачем-то в свой хомяк пишет, который располагается в C:\Program Files\ и пофиг на то, что системный раздел на D: расположен. Естественно, производитель не говорит какие именно права нужны игре. Почти наверняка можно раскопать на какие именно ветки реестра или каталоги ей нужны права, но на это надо время.
PS: Дочитал до «не про Windows»
PS: Дочитал до «не про Windows»
Есть ACT который перехватывает обращения и рекомендует шимы. См также blogs.msdn.com/b/chinmay_palei/archive/2011/01/16/windows-7-application-compatibility-issues-fix-centre.aspx
Не думаю. Но по опыту работы начальником отдела АСУ в банке могу сказать что это бывает необходимо.
Там очень много разнообразного софта. И некоторый написан так, что работает только под рутом например.
Тут в комментах как раз такой случай описан.
Там очень много разнообразного софта. И некоторый написан так, что работает только под рутом например.
Тут в комментах как раз такой случай описан.
Кстати, в Приватбанке с некоторых пор все на линухе.
В начале декабря, когда поддержка XP уже 8 месяцев как закончилась, встретил банкомат Сбера, вывалившийся в рабочий стол, фоном был TellME Security. Проводник, панель управления, реестр, всё открывалось!
Отправил на перезагрузку и подождал, пока не покажет заставку о том, что не работает. Он ведь сначала ещё в командной строке свои процессы описывает. Вот это безопасность, респект таким банкам! Даже используя выпущенную 13 лет назад ОС, вываливающуюся из киоск-режима в рабочий стол, он остаётся самым популярным в стране.
Отправил на перезагрузку и подождал, пока не покажет заставку о том, что не работает. Он ведь сначала ещё в командной строке свои процессы описывает. Вот это безопасность, респект таким банкам! Даже используя выпущенную 13 лет назад ОС, вываливающуюся из киоск-режима в рабочий стол, он остаётся самым популярным в стране.
После сбоев в их Оракле я отказался от услуг этого банка.
Не в защиту сбера, но у вас есть альтернатива? В моем родном городе выбор не большой.
Кроме того, основными вкладчиками вряд ли являются читатели хабра.
Кроме того, основными вкладчиками вряд ли являются читатели хабра.
В нашей «большой деревне» альтернатив как грязи :).
В соседнем здании, кстати, с тем же Сбером другая проблема была: наклеили бумажку, что банкомат не работает, а на самом деле он работает и карты принимает, вот только кнопки не нажимаются, и карту обратно не отдаёт. Уж трём девушкам подряд помогал, в итоге карта по тайм-ауту отдавалась. По звонку в Сбер регистрировалась «заявка», типа мне перезвонят, а просто по номеру банкомата послать команду на выключение нельзя было.
Задолго до всего этого заказывал на сайте карту с индивидуальным дизайном, ближайшего отделения в списке не было, так как после ремонта недавно открылось, так потом ещё у них в базе «идентификатор индивидуального дизайна» не прописался. Да пошли они, так в итоге и не забрал её.
В соседнем здании, кстати, с тем же Сбером другая проблема была: наклеили бумажку, что банкомат не работает, а на самом деле он работает и карты принимает, вот только кнопки не нажимаются, и карту обратно не отдаёт. Уж трём девушкам подряд помогал, в итоге карта по тайм-ауту отдавалась. По звонку в Сбер регистрировалась «заявка», типа мне перезвонят, а просто по номеру банкомата послать команду на выключение нельзя было.
Задолго до всего этого заказывал на сайте карту с индивидуальным дизайном, ближайшего отделения в списке не было, так как после ремонта недавно открылось, так потом ещё у них в базе «идентификатор индивидуального дизайна» не прописался. Да пошли они, так в итоге и не забрал её.
В «большой деревне» согласен, но родом я не оттуда. И когда действительно, встал вопрос о сохранении средств, которые можно забрать где угодно, то выбор был между ВТБ и Сбером. В первом предложили меньший процент.
А вообще, со всем вышеописанным согласен. И сам не пользуюсь кредитками Сбербанка. Только вклады.
А вообще, со всем вышеописанным согласен. И сам не пользуюсь кредитками Сбербанка. Только вклады.
Не был бы столь категоричным. Если взять, к примеру Украину, то в 90% случаев (утрирую) банкомат Приват Банка, 90% банковских рабочих станций тоже Приват Банк. Приват-Банк — рабочие станции Linux, Банкоматы Linux.
Но это отвлечение, на Ленте есть кое-какая техническая информация lenta.ru/news/2015/02/16/yardhack/
Судя по всему, заражались виндовые станции.
Но это отвлечение, на Ленте есть кое-какая техническая информация lenta.ru/news/2015/02/16/yardhack/
Судя по всему, заражались виндовые станции.
Желтизна желтизной. Очередной вброс чтобы подогреть интерес к «антивирусному» ПО.
… Евгений Касперский, изучал криптографию в вузе, который частично финансировался КГБ и Минобороны, и работал на российскую армию до открытия своей компании.
Когда приходило время нажиться на своих действиях....
По сути верно, чо :)
это группа Анунак, о которой Group-IB и FOX-IT написала еще в декабре.
Технический отчет можно прочитать тут — www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
А новости тут:
www.forbes.com/sites/thomasbrewster/2014/12/22/anunak-hackers-who-hit-staples/
www.forbes.ru/tekhnologii/internet-i-svyaz/276227-brat-po-krupnomu-kak-odna-gruppirovka-khakerov-ograbila-bolee-50
Технический отчет можно прочитать тут — www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
А новости тут:
www.forbes.com/sites/thomasbrewster/2014/12/22/anunak-hackers-who-hit-staples/
www.forbes.ru/tekhnologii/internet-i-svyaz/276227-brat-po-krupnomu-kak-odna-gruppirovka-khakerov-ograbila-bolee-50
В общем-то, для любого, кто общался с банковскими IT-никами, подобный вариант развития событий новостью не будет.
Регламенты, сертификация, бумажки, подписи. А в итоге сервера онлайн-банкинга неделю-две торчат наружу после публикации информации о heartbleed, и ещё полгода после этого не меняют сертификаты.
Регламенты, сертификация, бумажки, подписи. А в итоге сервера онлайн-банкинга неделю-две торчат наружу после публикации информации о heartbleed, и ещё полгода после этого не меняют сертификаты.
Ну дык они торчат наружу именно потому, что «регламенты, сертификация, бумажки, подписи». Для широкой публики это всплыло когда история с Dual EC DRBG обсуждалась.
То есть банками приходится выбирать между:
1. Получением сертификатов, красивыми рекламными слоганами и выполнением регламентов.
2. Обеспечением безопасности.
Догадайтесь с трёх раз что они выбирают. Зачастую у них и выбора-то нет, так как они по закону кой-какие вещи соблюдать обязаны.
То есть банками приходится выбирать между:
1. Получением сертификатов, красивыми рекламными слоганами и выполнением регламентов.
2. Обеспечением безопасности.
Догадайтесь с трёх раз что они выбирают. Зачастую у них и выбора-то нет, так как они по закону кой-какие вещи соблюдать обязаны.
Вся чистая правда. Я занимался расследованием одного такого нападения. Возможно это была другая группа — но методы совершенно те же. Банк был довольно маленький, прямо карманный, каких много в России, поэтому они сразу увидели что у них ночью были транзакции корпоративных клиентов которые по ночам не работают. Пошло расследование и было обнаружено практически все что описывается в статье.
Внедрение происходит письмом «от центробанка» одному из руководителей, чьи емейлы доступны в открытом доступе. Какой-нибудь зам. директора публичный. Приходит письмо типа «новые регулирования валютного контроля от ЦБ» с вложенным документов ворда, в котором 0-day дроппер скачивающий утилиту удаленного контроля. С этой точки входа начинается распространение внутри организации — сначала разбрасывается прямо с этого компа по сети софт под логином этого пользователя, софт который ищет в памяти пароли админов (если вы не в курсе в винде есть такая брешь — если админ логинился на комп до перезагрузки в оперативной памяти можно найти его логин). По получению логинов админа внедряются утилиты удаленного управления на компы сливающие отчеты на сервера управления по 80-му порту по http. Не подкопаешся — обычная веб-активность.
Сливаются скриншоты, пароли, все-все-все.
Если вы думаете что нужно заражать какие-то сложные банковские системы под AIX — это все блажь. Все эти системы имеют терминалы для работы с ними под винду, или веб интерфейсы — достаточно отснифать пароль с правами проводить транзакции и дело в шляпе. Даже если одна система авторизует по ключу — всегда есть другая система в которой просто пароль. Банк это дикая смесь разного софта. В группировке явно трудятся люди работавшие раньше в банках, потому что зходят на совершенно экзотический софт получив пароль и сливают деньги. Заходят ночью с vps'ок из разных стран на удаленное управление и прямо с компьютеров банка из клиентский утилит все льют.
Приходят действительно через месяц-два после заражения, видно что люди работают по площадям и сами иногда путаются что где — могут несколько раз пытаться войти под логином которого в данной организации вообще нет, какой-нибудь IvanovSG, когда в этой оргнанизации все логины вида s.g.ivanov.
Внедрение происходит письмом «от центробанка» одному из руководителей, чьи емейлы доступны в открытом доступе. Какой-нибудь зам. директора публичный. Приходит письмо типа «новые регулирования валютного контроля от ЦБ» с вложенным документов ворда, в котором 0-day дроппер скачивающий утилиту удаленного контроля. С этой точки входа начинается распространение внутри организации — сначала разбрасывается прямо с этого компа по сети софт под логином этого пользователя, софт который ищет в памяти пароли админов (если вы не в курсе в винде есть такая брешь — если админ логинился на комп до перезагрузки в оперативной памяти можно найти его логин). По получению логинов админа внедряются утилиты удаленного управления на компы сливающие отчеты на сервера управления по 80-му порту по http. Не подкопаешся — обычная веб-активность.
Сливаются скриншоты, пароли, все-все-все.
Если вы думаете что нужно заражать какие-то сложные банковские системы под AIX — это все блажь. Все эти системы имеют терминалы для работы с ними под винду, или веб интерфейсы — достаточно отснифать пароль с правами проводить транзакции и дело в шляпе. Даже если одна система авторизует по ключу — всегда есть другая система в которой просто пароль. Банк это дикая смесь разного софта. В группировке явно трудятся люди работавшие раньше в банках, потому что зходят на совершенно экзотический софт получив пароль и сливают деньги. Заходят ночью с vps'ок из разных стран на удаленное управление и прямо с компьютеров банка из клиентский утилит все льют.
Приходят действительно через месяц-два после заражения, видно что люди работают по площадям и сами иногда путаются что где — могут несколько раз пытаться войти под логином которого в данной организации вообще нет, какой-нибудь IvanovSG, когда в этой оргнанизации все логины вида s.g.ivanov.
хакеры, лол :)
Прям романтика! Или это я в GTA V переиграл? :)
в винде есть такая брешь — если админ логинился на комп до перезагрузки в оперативной памяти можно найти его логин
А у вас нет, случаем, ссылки с подробностями?
mimikatz
Без повышения привилегий не работает, как я понял? То есть был какой-то 0-day на повышение привилегий?
Его просто раскидали по сети под аккаунтом обычного пользователя пока не попали на комп где пользователь — локальный администратор. Это был какой-то выделенный комп для банк-клиентов и связи с другими банками. Знаете, у нас многие банк-клиенты пишутся так, что их инструкция начинается со слов «войдите под учетной записью администратора». Локального админа достаточно.
Плюс когда я смотрел на все это безобразие у меня создалось впечатление что ей даже администратор не особо нужен чтобы получать пароли неадминистраторов. Очень бойкая утилита, — одна из немногих которая поразила меня в плане что на винде можно сделать из того что ты даже не подозревал.
Плюс когда я смотрел на все это безобразие у меня создалось впечатление что ей даже администратор не особо нужен чтобы получать пароли неадминистраторов. Очень бойкая утилита, — одна из немногих которая поразила меня в плане что на винде можно сделать из того что ты даже не подозревал.
WCE
А если ли у вас какие-то рекомендации по настройке винды, чтобы обеспечить большую безопасность. Первое что приходит в голову запретить чайникам выполнять программы из трех мест куда они могут записать.
Но вот как быть с 0day непонятно — air gap? Всяческие средства снижения вероятности эксплуатации типа emet?
Но вот как быть с 0day непонятно — air gap? Всяческие средства снижения вероятности эксплуатации типа emet?
Мое дело небольшое, я что-то вроде наемного сыщика пост-фактум. Насколько я знаю банк нанял специалиста по безопасности — отдельного человека который разрабатывает адекватные регламенты, чтобы не парализовать работу банка с одной стороны, но и предотвратить какую-то часть угроз с другой стороны, и внедрил что-то вроде системы контроля целостности — с отчетом об изменении состоянии систем. Есть несколько мест которые меняются не часто, и которые эксплуатируются такими атаками — например список сервисов на компьютере. Достаточно делать отчет изменений и просматривать его каждый день на предмет появления сервисов чтобы отловить что-то лишнее. Плюс поставили систему слива всех логов со всех машин на одну центральную в сети которая пишет все эвенты и там стоят какие-то фильтры которые отслеживают неудачные логины и вообще логины с не адресов внутри сети. Плюс поставили логгер попыток соединений между сетью и интернетом по самым популярный портам удаленного управления — TeamViewer, VNC, RDP и т.д. с отчетом так же.
В целом получается что атаки развиваются не мгновенно и если следить за изменениями по определенным местам можно найти подозрительную активность даже имея тысячу компьютеров. Но, к сожалению, нужен отдельный человек который не «закопается в других делах» для этого.
В целом получается что атаки развиваются не мгновенно и если следить за изменениями по определенным местам можно найти подозрительную активность даже имея тысячу компьютеров. Но, к сожалению, нужен отдельный человек который не «закопается в других делах» для этого.
Пока гром не грянет ИБ сидит в разделе несущественных рисков, что-то из области фантастики из фильмов про хакеров.
2 месяца нахождения в системе это просто очень много, никаких контролирующих процессов просто не было.
Нет процессов, нет результат.
Сразу вспоминается взлом сети Target. Там даже антивирус среагировал, только логи не кому было смотреть.
2 месяца нахождения в системе это просто очень много, никаких контролирующих процессов просто не было.
Нет процессов, нет результат.
Сразу вспоминается взлом сети Target. Там даже антивирус среагировал, только логи не кому было смотреть.
Мое дело небольшое, я что-то вроде наемного сыщика пост-фактум.
Кстати, было бы очень интересно почитать про «расследования» подобных успешных (да и не успешных) атак на организации. Не хотите написать статью?
А еще это часто происходит, потому что всякие замы — частенько родственники, которые строят из себя невесть что, и когда админ банка им поясняет политику безопасности, они плюют на это свысока, а потом считают, что админ виноват.
Сори, наболело.
Сори, наболело.
пока вот что официальные источники пишут www.kaspersky.ru/about/news/virus/2015/ugroza-na-milliard
Кстати в пику рекламе касперского могу сказать что 0-day дроппер с которого начинается заражение он прошляпил, и вылечил только через примерно 20 дней постфактум (сняли образ машины с которой началось заражение и вертели его в виртуалке как могли, касперский верещал при наведении на изначальное письмо только после обновления баз приходившее через 20 дней после прихода письма). А все утилиты которые внедряются — легитимные утилиты которые вирусами не считаются. Ставятся всякие psexec из набора sysinternals, VNC сервера переименованные в неприметные сервисы и утилиты обратного соединения (когда машины соединяются с сервером контроля, на котором ее ждут чтобы попасть на десктоп) от совершенно легальных производителей. На которые касперский как бы в принципе не реагирует, потому что это не вирусы. На той самой изначальной машине касперский даже не моргал пока не откроешь то самое письмо двадцатидневной давности — потому что дроппер ставил легальные утилиты и сам себя удалял. Так что все это классно, но по итогам бесполезно. Только статьи такие писать о том что триста миллионов уже украдено.
Эхх… Именно поэтому считаю все это антивирусное ПО пустой тратой денег. От серьезных атак оно ничуть не спасает. Да и вообще, если ОСи для нормальной работы нужно стороннее ПО, это наводит на нехорошие мысли.
Спасибо за ваш опыт.
Интересно, что легитимное ПО все больше и больше применяется для использования в противоправной деятельности.
Аналогично сталкивался с фактами вымогательства посредством шифровальщика. Шифровальщик был построен на обычном pgp-движке, в котором антивирусы не видят ничего подозрительного.
Никакого дроппера не понадобилось, просто обманом заставили юзера запустить скрипт.
Может это уже тенденция? Раньше применяли различные виды обфускации для обмана антивирусов, писали изощренные трояны, а теперь поняли, зачем так заморачиваться, если полно легитимного ПО выполняющего нужные злоумышленнику действия.
Интересно, что легитимное ПО все больше и больше применяется для использования в противоправной деятельности.
Аналогично сталкивался с фактами вымогательства посредством шифровальщика. Шифровальщик был построен на обычном pgp-движке, в котором антивирусы не видят ничего подозрительного.
Никакого дроппера не понадобилось, просто обманом заставили юзера запустить скрипт.
Может это уже тенденция? Раньше применяли различные виды обфускации для обмана антивирусов, писали изощренные трояны, а теперь поняли, зачем так заморачиваться, если полно легитимного ПО выполняющего нужные злоумышленнику действия.
Раньше применяли различные виды обфускации для обмана антивирусов, писали изощренные трояны, а теперь поняли, зачем так заморачиваться, если полно легитимного ПО выполняющего нужные злоумышленнику действия.Скорее иначе. Зачем напрягаться, если полно идиотов, которые выполнят любую дурь и деньги принесут на блюдечке?
«просто обманом заставили юзера запустить скрипт.»
Социальная инженерия, что в общем-то не новости. А дальше уже не важно какие используются утилиты для кражи данных. Выше Mnemonik написал хороший пример с письмом «от центробанка».
«Может это уже тенденция?»
Тенденция людей все больше не обращать внимания на очевидные вещи, а главное их проверять. Наверное это связано с обилием информации, которая выросла в разы? + Рост мобильных устройств, где потребление контента сводится к «одному клику», что в свою очередь тем или иным образом сказывается на поведении c остальными устройствами. У людей просто не остается времени на проверку информации, зато есть огромное желание сделать клик и получить контент.
Не имею антивирусов на ПК (ставя отдельные утилиты для единоразовой проверки раз в 2-3 месяца) и вот что заметил — вирусов оказалось намного меньше (если вообще нет) чем при наличии антивирусного ПО. Стал больше внимателен и требователен к контенту который я хочу получить.
Социальная инженерия, что в общем-то не новости. А дальше уже не важно какие используются утилиты для кражи данных. Выше Mnemonik написал хороший пример с письмом «от центробанка».
«Может это уже тенденция?»
Тенденция людей все больше не обращать внимания на очевидные вещи, а главное их проверять. Наверное это связано с обилием информации, которая выросла в разы? + Рост мобильных устройств, где потребление контента сводится к «одному клику», что в свою очередь тем или иным образом сказывается на поведении c остальными устройствами. У людей просто не остается времени на проверку информации, зато есть огромное желание сделать клик и получить контент.
Не имею антивирусов на ПК (ставя отдельные утилиты для единоразовой проверки раз в 2-3 месяца) и вот что заметил — вирусов оказалось намного меньше (если вообще нет) чем при наличии антивирусного ПО. Стал больше внимателен и требователен к контенту который я хочу получить.
Да, письмо было высший сорт. Если бы я его все-таки не откопал роясь уже аж на два месяца в глубину от даты перевода денег — так бы и искали черт знает что. Потому что по всем логам точка входа была на компьютере члена правления банка, но когда я на этом настаивал мне все говорили — какой смысл члену правления банка красть деньги у банка таким способом когда он может и так просто их оттуда взять?..
Зато когда я вывалил факты — задали вопрос уже большому директору «как же так, ну тебе что, центробанк часто письма пишет сам?». На что он сказал — ну ребята, вы сами знаете ситуация какая, все сидят как на иголках никто ничего не знает что дальше будет, а тут приходит письмо (все заголовки зафорджены в info@cbrf.ru) с темой «валютное регулирование бла-бла-бла (написанное канцелярмтом)», официально оформленное и с прикрепленным документом. Вы бы не открыли?
Зато когда я вывалил факты — задали вопрос уже большому директору «как же так, ну тебе что, центробанк часто письма пишет сам?». На что он сказал — ну ребята, вы сами знаете ситуация какая, все сидят как на иголках никто ничего не знает что дальше будет, а тут приходит письмо (все заголовки зафорджены в info@cbrf.ru) с темой «валютное регулирование бла-бла-бла (написанное канцелярмтом)», официально оформленное и с прикрепленным документом. Вы бы не открыли?
Пора вводить обязательные тесты & курсы по информационной безопасности, cерьезная тема. Было бы интересно провести эксперимент в больших компаниях на эту тему, уверен что был бы запредельный % сотрудников которые с удовольствием прочитали фишинговые письма, скачали аттачи или перешли по ссылкам.
Получил официальные письма от сервисов на тему финансов или личных данных? В первую очередь проверь исходники письма.
Получил официальные письма от сервисов на тему финансов или личных данных? В первую очередь проверь исходники письма.
Это просто звидзец.
Приходит одному офисному работникув маленьком городке на Волге письмо, с заголовком вида Your monthly gas receipt, с вордовским аттачем.
На вопрос: где ты заправлялся, и где оставлял мыло, что тебе ресипты аж с самой Британии шлют? Работник не нашелся что ответить. Но аттач, как выяснилось, открывал.
Приходит одному офисному работнику
На вопрос: где ты заправлялся, и где оставлял мыло, что тебе ресипты аж с самой Британии шлют? Работник не нашелся что ответить. Но аттач, как выяснилось, открывал.
А по какой причине открытие атача должно привести к заражению?
А по какой причине в аттаче не может быть 0-day dropper'а?
По статистике :), наверное. Я тут думаю, что если вы не иранская ядерная программа именно ваши шанся столкнуться с 0 day будут минимальны. По какой причине в винде, почтовом клиенте, почтовом сервере и пр. может не быть 0-day dropperа?
В примере от Mnemonik выше с письмом «от центробанка» директор тоже думал что его «шансы минимальны». В аттаче может быть что угодно, даже если вы не «ядерная программа», и таких примеров заражения машин домашних пользователей много. Вы же сами написали ниже — «я не специалист по безопасности», так к чему этот вопрос про зараженный аттач если практика говорит об обратном?
Я так понял, проблема была не в 0day, а в том, что у пользователя не была заткнута дырка 2012 года. Вопрос к тому, насколько можно организовать безопасность, условно, на планшетном уровне. Например, часто ли в вашей практике случается 0day? Можно ли закрыть настройками так, чтобы обычные действия не приводили к заражению, а не обычные были легко отделены от обычных?
Вы (все участники), как мне кажется, в этом обсуждении слишком концентрируетесь на конкретном случае. Да, там была куча нелепостей одна на другой — и дыра 2012 года, и пользователи с паролем «1», и локальные администраторы и бессмысленные правила на фаерволле — много было глупостей которые вычищали поганой метлой. Суть в том что имеет значение только точка входа, это как дырочка в воздушном шарике — проморгал и ничто уже особо не поможет, разве что чуть затруднит распространение. И думать что «у меня такого никогда не случиться, потому что я делаю все что в этом описанном случае было сделано неверно» — очень самонадеянно. Эта конкретная атака нашла эту брешь, ничего не мешало бы попробовать тоже самое, но с более новым эксплоитом через две недели, или изобрести какой-то другой способ забросить внутрь дроппер. Тот же самый флэш-плеер с адоб-ридером обновляются чуть ли не каждую неделю, а знаете как иногда люди работают на ноутбуках? Пришел из отпуска, после длительной командировки за рубеж, открыл ноут который не использовался до этого месяц потому что не нужен был, и давай на нем срочную почту читать. Вот тебе и два месяца не обновленный софт.
Основная интересная идея всего этого рассказа о том какие бывают схемы взлома — с ловкой социальной инженерией, заброской легального софта и мимикой реального поведения переводящих деньги людей. Схема практически на 90% не нуждающаяся в 0-day эксплоитах, только на одном маленьком участке который вполне реально проморгать, поэтому расслабляться не стоит.
Основная интересная идея всего этого рассказа о том какие бывают схемы взлома — с ловкой социальной инженерией, заброской легального софта и мимикой реального поведения переводящих деньги людей. Схема практически на 90% не нуждающаяся в 0-day эксплоитах, только на одном маленьком участке который вполне реально проморгать, поэтому расслабляться не стоит.
Мне вот интересно, насколько можно минимизировать эти риски техническими средствами.
Например, чтобы уязвимы были не все директоры, а только пришедшие из отпуска. Или что бы и они сначала дождались загрузки критических обновлений, а потом лезли в сеть.
Я пока вижу (и не только по этим примерам), что в основном виноват недостаток паранойи у администраторов и грамотными настройками можно было бы предотвратить большинство угроз, про которые рассказывают.
Например, чтобы уязвимы были не все директоры, а только пришедшие из отпуска. Или что бы и они сначала дождались загрузки критических обновлений, а потом лезли в сеть.
Я пока вижу (и не только по этим примерам), что в основном виноват недостаток паранойи у администраторов и грамотными настройками можно было бы предотвратить большинство угроз, про которые рассказывают.
Вы очень концентрируетесь на словах «аттач», «0-day» и «директор с ноутбуком». Статья о том что «можно перевести 300 миллионов долларов из банков сломав только документ в ворде» — согласитесь, довольно экзотическое заявление, оказывающееся на проверку чистой правдой. Ведь из «сломанного» реальным эксплоитом была только точка входа. Весь интерес как раз в том что было дальше. Если вы будете так концентрироваться на 0-day, обновлениях и политике ноутбуков — есть шансы обнаружить что весь банк давно в ammy admin'ах потому что кто-то отснифал пароль от вай-фай точки сидя в машине под окнами банка. Или просто воспользовавшись тем или иным навыком социальной инженерии воткнул флешку в компьютер оператора.
В общем-то и я не имел в виду конкретно 0-day в аттаче, но мне показался странным сам вопрос.
«по какой причине открытие атача должно привести к заражению»?
«Можно ли закрыть настройками так, чтобы обычные действия не приводили к заражению»
Открытие зараженных аттачей и переход по ссылкам в фишинговых письмах можно обезопасить в первую очередь только наличием собственной внимательностью человека. Наличие антивирусов, фаерволлов с правилами и прочих систем наблюдения за ресурсами и сервисами, системных логгеров не даст 100% защиты от случайных заражений и целенаправленных атак.
«по какой причине открытие атача должно привести к заражению»?
«Можно ли закрыть настройками так, чтобы обычные действия не приводили к заражению»
Открытие зараженных аттачей и переход по ссылкам в фишинговых письмах можно обезопасить в первую очередь только наличием собственной внимательностью человека. Наличие антивирусов, фаерволлов с правилами и прочих систем наблюдения за ресурсами и сервисами, системных логгеров не даст 100% защиты от случайных заражений и целенаправленных атак.
Я считаю, что софт должен помогать внимательности человека (например, как браузер делает более ярким доменное имя). И правила работы с ним должны быть простыми (типа если в результате нормальной работы затеняется экран и выводится запрос, надо нажимать нет — на этом уровне).
Открытие какого бы то ни было атача не должно само по себе приводить к заражению.
Открытие какого бы то ни было атача не должно само по себе приводить к заражению.
Может тогда вообще не давать «садиться человеку за руль»? Сколько не вешай знаки на дорогах, светофоров, не ставь навигаторов а аварий и дураков на дорогах от этого не меньше.
«Открытие какого бы то ни было атача не должно само по себе приводить к заражению.»
Согласен, если человек 100 раз подумал перед тем как «садиться пьяным за руль».
«Открытие какого бы то ни было атача не должно само по себе приводить к заражению.»
Согласен, если человек 100 раз подумал перед тем как «садиться пьяным за руль».
Ну, скорее всего потому, что данное письмо упало помимо него, как оказалось позже, всем сотрудникам данного офиса.
В одном банке безопасники раскидывали флешки по этажам — у общего принтера, в переговорных, в столовке, в спортзале и т.п. Те, кто вставляли флешку в рабочий компьютер, автоматически получали письмо с приглашением на беседу об информационной безопасности.
Что говорит вирустотал об этом письме?
Социальная инженерия это вообще отдельная большая тема.
Есть ситуации, которые вызывают удивление — как же так? как она/он попались на такую простую удочку?
Но бывает дело даже не в обмане, а в текущем положении вещей и процессов.
Я уже писал про пример Снабженца, человека который постоянно принимает предложения от различных поставщиков с различных адресов и которому приходит «предложение на поставку».
Он по должностной инструкции должен открыть и прочитать.
Многие компании вывешивают вакансии и адрес для приемки резюме. Вот и приходит в один прекрасный момент кадровику приходит «резюме».
Был случай в практике, когда пошли и обходным путем, зашли с черного хода. Взломали контрагента и сделали с его адреса заряженную рассылку по цели.
Такие факторы не закрыть на 100 процентов только внимательностью и осведомленностью.
Есть ситуации, которые вызывают удивление — как же так? как она/он попались на такую простую удочку?
Но бывает дело даже не в обмане, а в текущем положении вещей и процессов.
Я уже писал про пример Снабженца, человека который постоянно принимает предложения от различных поставщиков с различных адресов и которому приходит «предложение на поставку».
Он по должностной инструкции должен открыть и прочитать.
Многие компании вывешивают вакансии и адрес для приемки резюме. Вот и приходит в один прекрасный момент кадровику приходит «резюме».
Был случай в практике, когда пошли и обходным путем, зашли с черного хода. Взломали контрагента и сделали с его адреса заряженную рассылку по цели.
Такие факторы не закрыть на 100 процентов только внимательностью и осведомленностью.
Я не специалист по безопасности, но мне кажется надо такие вопросы решать замыканием дыр, а не отловом того, что пытается их эксплуатировать. Только не очень понятно, что делать с 0day. Может, стоит выселять кадровиков и снабженцев во какое-то изолированное гетто с особыми требованиями по безопасности? Типа со внешней работаем внутри вступали с порезанными правами из кордовских документов копируем текст если надо.
Вот и хваленый эвристический анализ, но при этом волком воем на обычный ammyy admin и ни чуть не стесняясь пропускаем десятки альтернатив.
кстати, подняв тему вы вытаскиваете из памяти (все-таки это было год назад) все эти названия — поставлен был именно ammy admin с конфигом на сервера на впс-ах. Тогда (год назад) касперский его совершенно не боялся. Видимо с тех пор внесли из-за этих самых взломов. Но опять же, как вы правильно заметили, алтернативы найти не проблема.
Не в защиту касперского, но все таки скажу что упомянутый вами документ Word:
Это вовсе не 0day, а уязвимость CVE-2012-0158, которая была пропатчена в апреле 2012 года. А это значит что как минимум 2 года люди жили без обновлений.
Приходит письмо типа «новые регулирования валютного контроля от ЦБ» с вложенным документов ворда, в котором 0-day дроппер скачивающий утилиту удаленного контроля.
Это вовсе не 0day, а уязвимость CVE-2012-0158, которая была пропатчена в апреле 2012 года. А это значит что как минимум 2 года люди жили без обновлений.
Не удивлюсь, если в банках, как и в 60% всех гос. учреждениях используются пиратские копии Windows, отчего они и не обновляются.
не уверен. обновления там были на уровне компании, и на антивирус тоже. ИБ там была на довольно низком уровне, но именно на этом — поставить все обновления и на этом закончить. возможно это был «полуличный» ноутбук директора не попадающий под политику разливки обновлений домена по тем или иным причинам, за это не ручаюсь.
но неужели в ворде всего одна уязвимость?
но неужели в ворде всего одна уязвимость?
Уязвимостей действительно много: http://cve.circl.lu/search/microsoft/office
Но вот таких, для которых можно было бы создать эксплоит, который бы отрабатывал с высокой вероятностью на большинстве версий — мало. CVE-2012-0158 одна из таких, поэтому часто используется.
Если иметь пропатченный офис и ОС, то в таком случае можно избежать заражений. Конечно пропатченный офис не защитить от трюков социальной инжинерии типа .doc.scr или RLO (Right-to-Left Override).
PS: В соседнем топике говорится имено про CVE-2012-0158
Но вот таких, для которых можно было бы создать эксплоит, который бы отрабатывал с высокой вероятностью на большинстве версий — мало. CVE-2012-0158 одна из таких, поэтому часто используется.
Если иметь пропатченный офис и ОС, то в таком случае можно избежать заражений. Конечно пропатченный офис не защитить от трюков социальной инжинерии типа .doc.scr или RLO (Right-to-Left Override).
PS: В соседнем топике говорится имено про CVE-2012-0158
То Насти получается, что первопричина в том, что кто-то народно отключил самообновление?
А как его отключишь без привилегий администратора?
Я так понял был ноутбук директора, который не присоединен к домену. Амином, наверное, был там сам директор. Офис при первом запуске спрашивает, как ему обновляться. Для обычного человека обновления — это что-то раздражающее, заставляющее перезагружаться может поэтому от отключил. Еще я не знаю, что происходит, если нажать «Отмена» в этом окне.
Да, соседний топик хорош. Скорее всего все так и было. Вполне возможно что тут сиграл второй вариант — директорский ноутбук не попадающий под доменную политику по той или иной причине.
Тут радует только одно — тот банк которому я помогал после первого же вывода денег сумел и вернуть эти деньги арбитражем отменив платежи, и с моей помощью захлопнуть дверцу на следующий же день. Было много срабатываний введенных мер безопасности в последующие дни — и входящие попытки коннектов внутрь, и исходящие попытки с разных машин внутри сети на установленные сервера контроля, которые тут же отправлялись в карантин, но деньги больше не были потеряны ни разу.
Тут радует только одно — тот банк которому я помогал после первого же вывода денег сумел и вернуть эти деньги арбитражем отменив платежи, и с моей помощью захлопнуть дверцу на следующий же день. Было много срабатываний введенных мер безопасности в последующие дни — и входящие попытки коннектов внутрь, и исходящие попытки с разных машин внутри сети на установленные сервера контроля, которые тут же отправлялись в карантин, но деньги больше не были потеряны ни разу.
> Большинство пострадавших организаций располагаются в России
Почему-то не удивлен.
Почему-то не удивлен.
Странно, почему они не создали свой банк в какой-нибудь Украине, откуда спокойно забрали бы деньги, не парясь с банкоматами?
Потом Голливуд снимет про это фильм.
Один мой знакомый за последние 10 лет успел поработать примерно в 5 банках. Везде ситуация одна и та же: интернет на всех рабочих местах, сотрудники лазят по разным сайтам на том же самом компьютере, который обрабатывает важную банковскую тайну. Поймать заразу при таком подходе — раз плюнуть. В некоторых банках не было даже firewall-а. Шлюзом на всех компьютерах стоит «конец» провайдера. В серьезных компаниях у нас и за границей корпоративная сеть отделяется от сегмента интернет. Где то они разделены физически и для работы в интернете стоят отдельные персоналки. В других местах используются терминальные решения на более защищенных серверах, стоящих в DMZ.
В соседнем проекте пишут банковский софт. Интернет через прокси, практически зарезан. Скайп отрублен, включен только у отдельных под расписку начальства, в туалет по пропускам.
Разработчики, которые работают над особо важными компонентами практически обыскиваются перед входом — мобилки и флешки изымаются, возвращаются в конце рабочего дня на выходе.
И это так мучаться, чтобы потом софт ставить в ТАКИЕ банки?
Разработчики, которые работают над особо важными компонентами практически обыскиваются перед входом — мобилки и флешки изымаются, возвращаются в конце рабочего дня на выходе.
И это так мучаться, чтобы потом софт ставить в ТАКИЕ банки?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хакеры совершили одно из крупнейших в истории банковских ограблений