Малварь, бабло качай! Ч.4. Заключительная.

Шалом, бегущие в тенях! Привет, случайный подписчик. Заключительная часть большого FAQа по Malware. Кто ещё не читал - начало читаем на канале выше. То, что нам пригодится для заработка (некоторым точно). Но знать про такие вещи в наше непростое время просто необходимо любому уважающему себя интернет - пользователю.

Поехали:

Атаки на системы ДБО

Сама идея троянов, ворующих учетные данные пользователей ДБО, не нова. Для противодействия им была придумана технология двухфакторной аутентификации. Многие наверняка знают, что это такое, а для тех, кто не знает, поясним — кроме логина и пароля, используется дополнительный элемент, в качестве которого выступает специальный код (так называемый mTan — mobile transaction authentication number — мобильный код аутентификации транзакций), который приходит в SMS.

Однако методы кражи учетных данных с каждым годом становятся все изощреннее. Бурное развитие технологий, в частности массовое распространение смартфонов, играет на руку злоумышленникам и создает лазейки для обхода двухфакторной аутентификации. Первопроходцами в этом деле стали семейства Zeus и SpyEye.

Как это работает:

  1. Персональный компьютер заражается каким-либо способом — например, через PDF- или doc-файл, пришедший по почте.
  2. В момент, когда пользователь логинится на сайт банка, троян на лету прямо в браузере модифицирует HTML-страницу при помощи веб-инжекта и добавляет поля «Номер мобильного телефона» и «Версия мобильной ОС» (Android, BlackBerry, iOS, Symbian или другая).
  3. После ввода данных пользователем они отправляются на командный сервер злоумышленникам.
  4. Пользователю приходит SMS со ссылкой на приложение для его телефона. В терминологии антивирусных контор приложения получили названия ZitMo (Zeus-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), чуть позже к ним присоединился CitMo (Carberp-in-the-Mobile).
  5. После закрепления на смартфоне у злоумышленников есть все необходимое — логин, пароль и канал доставки SMS с кодом, запрос на транзакцию поступает в банк.
  6. Банк высылает SMS.
  7. Троян в смартфоне скрытно, не показывая пользователю, отсылает на командный центр полученный в SMS mTan, при помощи которого злоумышленники подтверждают транзакцию.

В схеме возможны вариации, например, ссылка на мобильную версию зловреда может внедряться прямо в страницу банка в виде QR-кода. Также некоторые банки фиксируют IP клиента, и в этом случае транзакция инициируется трояном с зараженной машины, которая выступает в качестве своеобразного прокси. К слову сказать, двухфакторная аутентификация более распространена в Европе, чем в Америке, поэтому ZitMo и SpitMo в большей степени ориентированы на Евросоюз. В противовес этому CitMo, да и сам Carberp был ориентирован на пользователей из России.

В качестве одного из последних громких дел с уводом денежных средств можно вспомнить акцию Eurograbber, раскрытую в конце 2012 года. Согласно отчету компаний Check Point Software Technologies и Versafe, денежные средства на сумму около 36 миллионов евро были украдены с более 30 тысяч корпоративных и частных банковских счетов. В ходе акции Eurograbber использовалась очередная модификация Zeus на пару с ZitMo.

Из последних новинок в сфере банковских троянов эксперты отмечают появление весной 2013 года нового варианта трояна Gozi. Последняя его версия, обнаруженная сотрудниками компании Trusteer, содержит функционал MBR-буткита. Компонент, запускаемый буткитом после загрузки операционной системы, ожидает запуска браузера Internet Explorer и внедряет вредоносный код в рабочие процессы браузера, что позволяет перехватывать содержимое HTTP-запросов и ответов для последующей модификации.

В качестве более надежной защиты при банковских транзакциях выступают аппаратные девайсы — токены, которые содержат в себе закрытые ключи для реализации технологии электронной цифровой подписи. Однако и здесь киберпреступникам есть чем ответить. Достаточно лишь получить полный доступ к удаленному рабочему столу ПЭВМ-жертвы. Организуется такой доступ, как правило, посредством VNC, благо в Сети полно исходных кодов таких серверов, для примера — проекты UltraVNC и TightVNC.

Кстати, именно на основе последнего созданы две полезные нагрузки в Metasploit — win32_bind_vncinject и win32_reverse_vncinject. Эти нагрузки представляют собой DLL, запускающие на локальной машине VNC-сервер с поддержкой прямого (мы коннектимся к атакуемой машине) и обратного (атакуемая машина коннектится к нам) соединений. Отдельные виды малвари юзают свою собственную реализацию VNC-сервера, например Zeus и Citadel.

Кроме VNC, можно попробовать использовать «легитимные» утилиты удаленного администрирования, слегка подрихтовав их напильником. Именно так поступают создатели трояна Carberp, ориентированного на кражу банковских реквизитов.

Используемые ими продукты: в 2010 году — BeTwin Thinsoft for RDP и TeamViewer, в 2011-м — Mipko Personal Monitor и в 2012-м — Ammyy Admin. Их исполняемые модули не модифицировались, что позволяло сохранить легальную цифровую подпись — на первых порах это неплохо сбивало с толку антивирусные продукты.

Злоумышленники просто создавали вредоносную DLL с именем одной из импортируемых библиотек, например tv.dll для TeamViewer, а оригинальную переименовывали (в ts.dll). Библиотека tv.dll передавала код доступа к компьютеру на управляющий сервер и служила переходником к ts.dll, из которой вызывались оригинальные функции. Все компоненты помещались в самописный инсталлятор (дроппер), который сохранял их в каталоге, доступном на запись (Application Data), и прописывал в автозагрузку.

В 2010-м подобные вещи часто делали с Remote Admin, да и теперь на форумах спрашивают иногда, хотя все уже на ура палится. Между прочим, данный метод сейчас активно используется и в шпионских целях. По результатам анализа Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT), одна из киберпреступных групп, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа использовалась как раз «зловредная» версия TeamViewer.

Заключение

Как ты мог сам убедиться, киберсталкер, вариаций увода денег огромное множество. И к сожалению, полагаться на то, что один антивирус тебя защитит от этих напастей, не стоит. Помочь тут может только совершенствование своей компьютерной грамотности.

В то же время многие пользователи недооценивают данную угрозу. Отчасти это происходит из-за смещения фокуса аудитории интернета в сторону тех зловредов, на которых больше всего пиарятся антивирусные компании. За примерами далеко ходить не нужно, вот два «топовых» слова — Stuxnet и Red October. А банковские трояны — это, по словам одного эксперта по безопасности, для России не актуально, у нас, мол, системы ДБО мало распространены. ОK, давайте пить боржоми, когда почки уже отвалились. Такая вот ориентация на корпоративный уровень весьма прискорбна. Простому пользователю все эти стакснеты и красные октябри ничего плохого не сделали, кто их защитит от действительно актуальных для них угроз? Целевые организации и предприятия, против которых были направлены Stuxnet и Red October, напротив, были сами в состоянии обеспечить свою безопасность.

Резюме: резервное копирование информации, работа с правами пользователя, внимательность при работе с ДБО, постоянное обновление софта из надежных источников и какой-никакой антивирус с файрволом, а ещё VPN, прокся, одноразовые почтовые ящики и постоянное повышение своей киберграмотности и умений.