Комментарии 30
заголовок желтый а статью можно сократить до: А вы знали что вирусы могут украсть деньи с вашего *Coin кошелька даже когда он зашифрован?
Что касается сокращения статьи до «А вы знали...», не соглашусь с Вами, малварь из ряда вон выходящая по ряду параметров. Тут и охват разных видов криптовалют, и возможность похищения реквизитов доступа к шифрованным кошелькам, и ещё куча удивительных вещей.
Особенно любопытно, на наш взгляд то, что функция strlen, в общем-то реализующая функции защиты данных через контроль длины пароля к кошельку сама стала источником компрометации реквизитов доступа. Функцию хучат и перехватывают посылаемый на её вход пароль в открытом виде. Ну не забавно ли?
Мы могли бы назвать статью «Just Another Malware» (Согласитесь, JAM — удачная аббревиатура), но решили привлечь немного внимания. Надеюсь, желтизна никого не оскорбила.
Особенно любопытно, на наш взгляд то, что функция strlen, в общем-то реализующая функции защиты данных через контроль длины пароля к кошельку сама стала источником компрометации реквизитов доступа. Функцию хучат и перехватывают посылаемый на её вход пароль в открытом виде. Ну не забавно ли?
Мы могли бы назвать статью «Just Another Malware» (Согласитесь, JAM — удачная аббревиатура), но решили привлечь немного внимания. Надеюсь, желтизна никого не оскорбила.
Продвинутый пользователь и так знает о такого рода опасностях, как и о методах противостояния им.
А типичному пользователю будет не понятно о рекомендациях снижения риска кроме, разве что, использования отдельного компьютера.
Но за обзор в целом — спасибо.
А типичному пользователю будет не понятно о рекомендациях снижения риска кроме, разве что, использования отдельного компьютера.
Но за обзор в целом — спасибо.
Продвинутые пользователи на ресурсах посвящённых криптокоинам активно убеждают друг друга что шифрованный кошелёк — гарантия безопасности. И они не голословны, большинство специализированной малвари ограничивается кражей кошельков с надеждой на то, что они не защищены паролем.
А типичному пользователю под спойлером мы рассказали про криптовалюты немного общих вещей и порекомендовали отличную книгу.
А типичному пользователю под спойлером мы рассказали про криптовалюты немного общих вещей и порекомендовали отличную книгу.
Интересно, кому понадобились форки и альткоины ниже 10-ой строчки по капитализации? Видимо, коллекционеры вредоноса писали)
Еще в 2011 году я написал статью, как можно довольно безопасно хранить криптовалюту. Версии ПО в материале, конечно, устарели, но методология до сих пор актуальна.
Еще в 2011 году я написал статью, как можно довольно безопасно хранить криптовалюту. Версии ПО в материале, конечно, устарели, но методология до сих пор актуальна.
Дело в том, что скорее всего кошельки всех этих валют по структуре одинаковы, т.е. для того чтобы чуть расширить доход с такого зловреда надо лишь немного увеличить массив для поиска и все. Тем более пользователи альтернативных криптовалют могут быть менее обеспокоены, т.к. могут думать, что зловреды нацеленны только на популярные форки. То есть они могут принебрегать безопасностью.
Верно предполагаете, форки биткоина потому и называются форками, что они ветвятся от единого кода и обладают общими характеристиками. Иными словами, при верной методологии написать малварь, похищающую 80 видов кошельков совсем не в разы сложнее чем создать таковую под один форк. Мы постоянно видим примеры взлётов и падений разных валют, поэтому жадность вирусописателей можно понять: кто знает, сколько будет стоить через год монетка, которую сегодня можно взять даром?
Хороший материал, спасибо за ссылку, уверен, многие почерпнут полезных навыков при работе с важной информацией.
Интересно, что специалисты по безопасности скажут про сайты крипто-кошельки?
Вот btcbank.com.ua например весьма удобен тем, что сразу и биткоины в можно купить… для тех кто хочет попробовать, что за зверь эти криптовалюты.
правда только для Украины.
Вот btcbank.com.ua например весьма удобен тем, что сразу и биткоины в можно купить… для тех кто хочет попробовать, что за зверь эти криптовалюты.
правда только для Украины.
Порталы-холдеры для криптокошельков — это, вероятно, очень удобная в использовании вещь, которая со временем накапливает существенную валютную массу и превращается в лакомый кусок для взломщиков.
Как уже писали в статье, мы не одобряем использование денежных суррогатов и ценим только фиатные валюты (опять-таки смайл был бы уместен), но если предположить, что всё же стали бы хранить деньги в криптокойнах, то скорее всего, не стали бы доверять свои кошельки сторонней площадке.
Атаки на криптокошельки сейчас в растущем тренде и следует ожидать дальнейшего увеличения таких активностей и миграции ряда технологий из банковских троянов в вирусы, подобные описанному. Появятся и автозаливы, и специфические зловреды для мобильных устройств. Защищённость онлайн-транзакций определяется защищённостью клиентской машины (логическое и) операторской части, а для клиента вторая составляющая всегда покрыта флёром тайны. В общем, самостоятельно защитить файл с платёжными данными, на мой взгляд, проще.
Про btcbank могу сказать, CentOS, Apache 2.2, PHP, JQuery. Судя по WHOIS, домен принадлежит Вам. Ещё могу сказать, что внутри Вас живёт талантливый маркетолог, который умело заносит ссылку на онлайн-холдер в тему про опасность хранения кошельков на домашнем/рабочем ПК.
Судя по входным данным, в ресурсе есть куда копать в плане безопасности, обратитесь к нам или другому крупному техаудитору, сможете выявить и устранить дыры, повесите на главной логотипчик «security tested by..» и повысите доверие пользователей. Кстати, мы не принимаем оплаты в криптовалютах. >smile type=«coin» /<
P.S. Извиняюсь за коммерческие настроения в комментариях.
Как уже писали в статье, мы не одобряем использование денежных суррогатов и ценим только фиатные валюты (опять-таки смайл был бы уместен), но если предположить, что всё же стали бы хранить деньги в криптокойнах, то скорее всего, не стали бы доверять свои кошельки сторонней площадке.
Атаки на криптокошельки сейчас в растущем тренде и следует ожидать дальнейшего увеличения таких активностей и миграции ряда технологий из банковских троянов в вирусы, подобные описанному. Появятся и автозаливы, и специфические зловреды для мобильных устройств. Защищённость онлайн-транзакций определяется защищённостью клиентской машины (логическое и) операторской части, а для клиента вторая составляющая всегда покрыта флёром тайны. В общем, самостоятельно защитить файл с платёжными данными, на мой взгляд, проще.
Про btcbank могу сказать, CentOS, Apache 2.2, PHP, JQuery. Судя по WHOIS, домен принадлежит Вам. Ещё могу сказать, что внутри Вас живёт талантливый маркетолог, который умело заносит ссылку на онлайн-холдер в тему про опасность хранения кошельков на домашнем/рабочем ПК.
Судя по входным данным, в ресурсе есть куда копать в плане безопасности, обратитесь к нам или другому крупному техаудитору, сможете выявить и устранить дыры, повесите на главной логотипчик «security tested by..» и повысите доверие пользователей. Кстати, мы не принимаем оплаты в криптовалютах. >smile type=«coin» /<
P.S. Извиняюсь за коммерческие настроения в комментариях.
«то скорее всего, не стали бы доверять свои кошельки сторонней площадке»… ну как-бы есть банки, и есть счета в банках и никто не хранит деньги под подушкой… хотя и из банков и с карт воруют… тогда в чем разница?
P.S. Это риторический вопрос, на него можно не отвечать.
P.S. Это риторический вопрос, на него можно не отвечать.
Люблю отвечать именно на риторические)
Банки работают с легальными валютами в правовом поле и несут ответственность за вклады (добровольную или вынужденную). Банки вкладывают серьёзные деньги в безопасность и регулярно проводят пентесты и аудиты всего. Даже пользовательские хосты банки начали защищать как только мы и наши соседи по рынку предложили достаточно эффективные и изящные решения, работающие без установки на клиентские ПК (Кстати, если будут реквесты, мы, вероятно, даже сможем рассказать кое-что про технологию). И может быть удивлю, но по итогам 2014-го года мы зафиксировали снижение количества хищений. Наконец, банки могут преследовать взломщиков в законном поле и в перспективе возвращать часть украденного (Пример — группа Carberp).
Держатели онлайн-хранилищ в массе своей лишены этих преимуществ и если владелец ресурса не уйдёт в ночь по достижении некоторой суммы в активе, то весьма подвержен атакам, по результатам которых может лишиться всех доверенных в управление средств. Инцидент с Mt.Gox, пожалуй, самый известный, но далеко не единственный.
Банки работают с легальными валютами в правовом поле и несут ответственность за вклады (добровольную или вынужденную). Банки вкладывают серьёзные деньги в безопасность и регулярно проводят пентесты и аудиты всего. Даже пользовательские хосты банки начали защищать как только мы и наши соседи по рынку предложили достаточно эффективные и изящные решения, работающие без установки на клиентские ПК (Кстати, если будут реквесты, мы, вероятно, даже сможем рассказать кое-что про технологию). И может быть удивлю, но по итогам 2014-го года мы зафиксировали снижение количества хищений. Наконец, банки могут преследовать взломщиков в законном поле и в перспективе возвращать часть украденного (Пример — группа Carberp).
Держатели онлайн-хранилищ в массе своей лишены этих преимуществ и если владелец ресурса не уйдёт в ночь по достижении некоторой суммы в активе, то весьма подвержен атакам, по результатам которых может лишиться всех доверенных в управление средств. Инцидент с Mt.Gox, пожалуй, самый известный, но далеко не единственный.
Все таки есть технологии типа hot/cold wallet. Так что при должной организации безопасности можно избежать потери всех клиентских активов в случае успешной хакерской атаки.
Недавняя история с bitstamp — явный тому пример.
Недавняя история с bitstamp — явный тому пример.
Тут Вам виднее, но мне всегда казалось, что прибыль финансовых площадок существенно меньше суммы оборотных средств на хранении и хищение даже небольшой части доверенных в управление средств больно ударит по карману. Иными словами, не обязательно выводить всё, площадка может накрениться и от небольших воздействий. Это в формате софистики.
А прятать неиспользуемые активы подальше — хороший подход, вносящий свой немалый вклад в защищённость.
А прятать неиспользуемые активы подальше — хороший подход, вносящий свой немалый вклад в защищённость.
Стоит урегулировать этот вопрос на юридическом уровне, как банковский сектор потеряет прибыль, а получат эту прибыль появившиеся (как грибы после дождя) обменники на территории РФ. И пока денежные монстры дойдут, до того, что это еще один способ заработатать, обновят инфраструктуру, наймут специалистов и т.д и т.п. пройдет много времени. Так что банковское лобби тут очевидно. Проще запретить, чем ввести в оборот и дополнить соответствующими инструкциями регулирующие органы. Ведь нет ничего страшного, что человек откроет счет в биткоинах за рубежем. Надо будет лишь оповестить налоговую и все. Остальным может спокойно заниматься РосФинНадзор, точно так-же как они это делают сейчас.
Видимо недавний шум про скайп и ОПСоСов успели забыть (напомню, это когда хотели брать дополнительные деньги за скайповый траффик с своих сетях).
Мы (ну или большинство) все понимаем. И снисходительно на все это (решения) смотрим.
Про Carberp. Сколько было украдено? Сколько было заявлено? Сколько вернули? Там и 10% не будет. Да и с кем банковский сектор пытается бороться? Ловят то в основном дропов. Чего стоит Кристина Свечинская и раздутый скандал. Чуть ли не политический мотив нашли. Ну бред же. Вы конечно можете напомнить про кардерпланет, но и там все объяснимо. Люди начали наглеть и работали по России. Тут видимо интересы пересеклись. Все очевидно.
Видимо недавний шум про скайп и ОПСоСов успели забыть (напомню, это когда хотели брать дополнительные деньги за скайповый траффик с своих сетях).
Мы (ну или большинство) все понимаем. И снисходительно на все это (решения) смотрим.
Про Carberp. Сколько было украдено? Сколько было заявлено? Сколько вернули? Там и 10% не будет. Да и с кем банковский сектор пытается бороться? Ловят то в основном дропов. Чего стоит Кристина Свечинская и раздутый скандал. Чуть ли не политический мотив нашли. Ну бред же. Вы конечно можете напомнить про кардерпланет, но и там все объяснимо. Люди начали наглеть и работали по России. Тут видимо интересы пересеклись. Все очевидно.
Ведь нет ничего страшного, что человек откроет счет в биткоинах за рубежем. Надо будет лишь оповестить налоговую и все.
— В чём наиболее заметное отличие криптовалют от фиатных денежных средств?
В том, что они позволяют серьёзно осложнить
(а если говорить проще — то сделать практически нереальным)
выяснение источников денежных средств.
Традиционно — это та информация, что есть у банков.
Естественно, что им отток капитала не понравится.
Потому и предпринимаются (на законодательном уровне) попытки поставить под контроль
движение таких активов, как криптовалют.
Это, кстати, прямо противоречит тем принципам, что закладывались их создателями.
Потому — это будет реализовано весьма ущербно.
И именно такие, элементарно недальновидные,
попытки (со стороны официальных структур и властей) мы и наблюдаем.
Ведь криптовалюты «держатся» на децентрализованных базах данных.
Нет единого контролёра, потому и нет возможности к тем махинациям, когда хозяин — это ограниченный круг лиц.
Про банки не соглашусь. Защита конечных машин в массе началась после принятия закона о национальной платежной системе. До этого момента представители банко прямо говорили, что защита конечников это ответственность и они этим заниматься не будут никогда. Исключения были, но крайне редкие.
И возможное снижение хищений — это корпоратив
Ну а Карберп это вообще уникальный случай. Совместная межгосударственная операция России и Украины. Банки тут слабо причем
И возможное снижение хищений — это корпоратив
Ну а Карберп это вообще уникальный случай. Совместная межгосударственная операция России и Украины. Банки тут слабо причем
Я правильно понимаю, что страдают только виндовые пользователи?
А есть ли список Ip адресов куда эти уроды информацию сливают, чтобы их в блек листы внести?
Семплы, которые мы исследовали, отстукиваются на f8b2b9.su
Естественно, сейчас домен снят с делегирования.
Ну и Вы же знаете, что систему, оперирующую крупными суммами, следует файерволлить белыми списками, а не чёрными? И фильтровать лучше внешним устройством.
Естественно, сейчас домен снят с делегирования.
Ну и Вы же знаете, что систему, оперирующую крупными суммами, следует файерволлить белыми списками, а не чёрными? И фильтровать лучше внешним устройством.
Как инфоповод еще ладно, сойдет, но как статья — не ахти.
Одни только мало-облагороженные листинги из Иды чего стоят — выглядит крайне некрасиво. Вы же людям это показываете, могли бы листинги обработать, потратить на них еще пять минут, а нет же — скриним что есть с минимальной обработкой, все равно схавают.
По файлу же инфы ноль: ни то как антивирусы его детектируют, ни хеша, ничего — просто взяли из pdb самоназвание и timestamp указали.
Для Group-IB как-то не солидно, что-ли…
Одни только мало-облагороженные листинги из Иды чего стоят — выглядит крайне некрасиво. Вы же людям это показываете, могли бы листинги обработать, потратить на них еще пять минут, а нет же — скриним что есть с минимальной обработкой, все равно схавают.
По файлу же инфы ноль: ни то как антивирусы его детектируют, ни хеша, ничего — просто взяли из pdb самоназвание и timestamp указали.
Для Group-IB как-то не солидно, что-ли…
Спасибо за отзыв. Негативные мнения куда полезнее для развития, чем позитивные.
В каком виде Вам было бы удобнее читать листинги? Специально посмотрел Вашу публикацию, примеров не нашёл, расскажите, пожалуйста.
Что касается информации по файлу, Вы как исследователь малварей прекрасно знаете сколько сегодня стоит закриптовать семпл и сколько раз на дню это можно делать. Хэш файла, созданного в январе 2014-го едва ли будет полезен кому-либо, но тем не менее, вот он: 830FED2ACA9DF73B7CF55FD7051ED5CD
Антивирусники же по понятным причинам не детектят его сигнатурно, адекватной эвристики для его поведения на момент проведения исследования тоже никто не предоставлял.
В каком виде Вам было бы удобнее читать листинги? Специально посмотрел Вашу публикацию, примеров не нашёл, расскажите, пожалуйста.
Что касается информации по файлу, Вы как исследователь малварей прекрасно знаете сколько сегодня стоит закриптовать семпл и сколько раз на дню это можно делать. Хэш файла, созданного в январе 2014-го едва ли будет полезен кому-либо, но тем не менее, вот он: 830FED2ACA9DF73B7CF55FD7051ED5CD
Антивирусники же по понятным причинам не детектят его сигнатурно, адекватной эвристики для его поведения на момент проведения исследования тоже никто не предоставлял.
Так почему это пишется в комментарии, а не в самом посте?
Так бы и написали — с некой связки снимался такой-то файл, туда прикручен серверный криптор, или по некоему линку с таймаутом в 10 минут выдавался каждый раз… в общем, думаю, понятно.
О том, что он детектился/не детектился можно было написать. Про то, что на том же хосте у тех же авторов (или по партнерке) сидел еще и зевс тоже можно было указать. Язык написания, единичный это экземпляр или он популярен, что за семейство и т.д.
По поводу скринов в моих каких-то мини-статьях на просторах инета — я вообще стараюсь не делать скринов для пояснения чего-либо, только для красного словца и для разнообразия их даю, в крайнем случае для пущей наглядности приходится скринить, а так стараюсь описывать все словами. Но не о мне речь.
На приведенные скрины мой взгляд такой:
1. На скринах иды после объявления переменных автокомменты ни к селу ни к городу, только портят картину (eax@7 и прочее подобное).
2. Давать псевдокод внедрения через удаленные потоки. Это вообще зачем? Это же банальщина.
3. В скрине из Олли нет никаких сделанных вручную комментов, только обведены строки, хотя они итак в глаза бросаются, ибо вообще там больше ничего нет. Только безымянные коллы и джамп
4. На скрине с FindWindow — почему не переведены кракозябрики?
Что в итоге имеем? Беглый анализ одного (даже не семейства о котором ни слова) единственного файла.
Про эвристику поведения тоже в статье не слова. Как и на ком проверяли? Тема же реально интересная, могли бы сделать конфетку из статьи.
За статью ставлю плюс. Жду следующих публикаций на уровень выше :)
Так бы и написали — с некой связки снимался такой-то файл, туда прикручен серверный криптор, или по некоему линку с таймаутом в 10 минут выдавался каждый раз… в общем, думаю, понятно.
О том, что он детектился/не детектился можно было написать. Про то, что на том же хосте у тех же авторов (или по партнерке) сидел еще и зевс тоже можно было указать. Язык написания, единичный это экземпляр или он популярен, что за семейство и т.д.
По поводу скринов в моих каких-то мини-статьях на просторах инета — я вообще стараюсь не делать скринов для пояснения чего-либо, только для красного словца и для разнообразия их даю, в крайнем случае для пущей наглядности приходится скринить, а так стараюсь описывать все словами. Но не о мне речь.
На приведенные скрины мой взгляд такой:
1. На скринах иды после объявления переменных автокомменты ни к селу ни к городу, только портят картину (eax@7 и прочее подобное).
2. Давать псевдокод внедрения через удаленные потоки. Это вообще зачем? Это же банальщина.
3. В скрине из Олли нет никаких сделанных вручную комментов, только обведены строки, хотя они итак в глаза бросаются, ибо вообще там больше ничего нет. Только безымянные коллы и джамп
4. На скрине с FindWindow — почему не переведены кракозябрики?
Что в итоге имеем? Беглый анализ одного (даже не семейства о котором ни слова) единственного файла.
Про эвристику поведения тоже в статье не слова. Как и на ком проверяли? Тема же реально интересная, могли бы сделать конфетку из статьи.
За статью ставлю плюс. Жду следующих публикаций на уровень выше :)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Как крадут деньги, которых нет. Или кое-что новенькое о криптовалютах