Расследование инцидентов: хищение в системе ДБО
«Лаборатория Касперского» все чаще сталкивается с задачей детального расследования произошедших в компаниях инцидентов информационной безопасности, связанных с вредоносным ПО.
В этой статье мы расскажем о типичной атаке злоумышленников, нацеленной на хищение денежных средств компании в системе ДБО.
Инцидент Не так давно в «Лабораторию Касперского» обратилась некая организация с просьбой расследовать инцидент в системе дистанционного банковского обслуживания. В бухгалтерию этой организации позвонил сотрудник банка и попросил подтвердить платеж на сумму около 3 млн руб. В самой организации об этом платеже никто не знал, бухгалтер уверял, что не проводил его, а во время проведения транзакции отсутствовал на рабочем месте — он обедал.
Бухгалтер использовал на своем компьютере банковское ПО для формирования платежных поручений и отправки их в банк, и в журналах этого ПО было зарегистрировано два подозрительных платежа на один и тот же адрес. При этом первый платеж на сумму около 300 тыс. руб. уже был успешно проведен, поскольку сумма платежа была обычной с точки зрения сотрудников банка. А вот второй платеж на сумму около 3 млн руб. вызвал подозрения у банковских работников.
Так как бухгалтер не проводил платежей, в организации заподозрили атаку с использованием вредоносного ПО. Но каким образом возможна такая атака, ведь использовалось специальное банковское ПО, требующее пароль и специальный файл для доступа к системе ДБО, а IP-адрес отправителя платежного поручения проверялся на стороне банка?
Расследование Основная цель проведения расследования вирусного инцидента заключается в точном определении последствий атаки, очерчивании круга скомпрометированных компьютеров и обнаружении способов проникновения вредоносной программы на компьютер жертвы. Получив эту информацию, организация может минимизировать потери от инцидента, а также выявить слабые места в защите и принять меры по предотвращению подобных инцидентов в будущем.
В ходе расследования мы можем также обнаружить экземпляры вредоносных программ, которые не были задетектированы ранее и добавить их в антивирусные базы, обезопасив потенциальных жертв этих зловредов.
Для проведения расследования этого инцидента образ жесткого диска с компьютера бухгалтера был передан на анализ и проведение расследования в группу Оперативного решения компьютерных инцидентов (ОРКИ).
Удаленный доступ к компьютеру При первоначальном анализе жесткого диска с компьютера бухгалтера мы нашли модифицированную версию легальной программы «Remote Manipulator System», которая позволяет удалено управлять компьютером. Похожие программы часто используются самими бухгалтерами или системными администраторами. Однако найденная нами программа находилась в подозрительном каталоге, имела подозрительное название («C:\windows\dotcom\wmiterm.exe» — очень «системный» путь, даже продвинутый пользователь вряд ли заподозрит неладное) и была изменена таким образом, чтобы скрыть ее функционирование:
Скрыта иконка на панели задач «Windows». Изменен ключ реестра, в котором программа хранит свои настройки (с [HKLM\SYSTEM\Remote Manipulator System\v4] на [HKLM\SYSTEM\System\System\Remote\ Windows], опять же очень похоже на «системный» ключ реестра). Отключено отображение оконного интерфейса программы. Такие изменения характерны для вредоносных программ, поэтому мы добавили в антивирусные базы детектирование этого ПО с вердиктом Backdoor.Win32.RMS.
В ходе анализа деятельности Backdoor.Win32.RMS мы выяснили, что с помощью этой вредоносной программы злоумышленники загрузили на компьютер еще один зловред — Backdoor.Win32.Agent (детектирование этой вредоносной программы было добавлено сразу после того, как мы ее обнаружили). Этот бэкдор предоставлял удаленный VNC (Virtual Network Computing) доступ к компьютеру жертвы. Интересно, что в коде этой вредоносной программы очень много общего с модулем «hVNC» троянца Carberp (последствия открытого доступа к исходным кодам этого троянца).
Каким же образом вредоносная программа Backdoor.Win32.RMS попала на компьютер бухгалтера?
Заражение компьютера Из базы данных Microsoft Outlook (файла «outlook.pst» на жестком диске) мы извлекли письмо, содержащее вложение с названием «запрос ИФНС № АС-4–31339.doc». Этот офисный документ детектировался нашим антивирусом как Exploit.MSWord.CVE-2012–0158.
Злоумышленники использовали приемы социальной инженерии: в тексте письма, отправленного от имени Федеральной налоговой службы, призывалось к срочной обработке сообщения и приводились контактные данные реальных сотрудников налоговой службы.
Бухгалтер наверняка должен был открыть вложение, которое используя уязвимость в программе «Microsoft Office Word», загружало с удаленного сервера самораспаковывающийся архив и запускало его распаковку. Архив содержал 2 файла: «SYST.EXE» (переименованная программа-архиватор »7zip») и «SYST».
В ходе самораспаковки исходный архив запускал программу-архиватор «SYST.EXE» с параметрами, указывающими на распаковку защищенного паролем архива «SYST» — с использованием встроенного пароля. Такой прием с использованием защищенного паролем архива служит для обхода статической распаковки файла антивирусным ПО, чтобы уменьшить вероятность обнаружения вредоносных файлов антивирусом.
В результате распаковки «SYST» создавался файл Backdoor.Win32.RMS, обнаруженный нами ранее, и скрипт «INST.CMD», осуществляющий установку бэкдора в систему (именно скрипт копировал файлы вредоносного ПО в каталог «C:\windows\dotcom»).
Уже после обнаружения бэкдоров у нас появились соображения о том, как можно было осуществить хищение денежных средств. Если у злоумышленников был удаленный доступ к компьютеру, то они могли составить собственное платежное поручение — и тогда ключевой файл и IP-адрес отправителя были бы легитимными! Но в этом случае остается проблема с паролем на доступ к банковскому ПО. И мы поняли, что следует искать программу-кейлоггер.
Кейлоггер Наше внимание привлек файл «Svchost.exe», расположенный в корне системного диска. Файл оказался кейлоггером (добавлено детектирование с вердиктом Trojan-Spy.Win32.Delf) с дополнительным функционалом по управлению настройками Backdoor.Win32.RMS. Такой необычный функционал, по-видимому, был необходим злоумышленникам, чтобы контролировать модифицированную версию «Remote Manipulator System», ведь они скрыли весь пользовательский интерфейс этой программы и не могли использовать его для управления настройками.
Мы также обнаружили, что загружался этот кейлоггер с помощью бэкдора Backdoor.Win32.RMS.
Кейлоггер не только регулярно отправлял на сервер журнал с украденной информацией, но и хранил актуальную копию журнала на жестком диске зараженного компьютера. Среди украденной кейлоггером информации мы обнаружили и пароль от банковского ПО.
Схема атаки В результате расследования мы смогли составить следующую схему действий злоумышленников:
В ходе целевой атаки с использованием социальной инженерии и уязвимости в программе Microsoft Word компьютер бухгалтера был заражен Backdoor.Win32.RMS. С помощью этого бэкдора злоумышленники загрузили на зараженную машину еще две вредоносные программы: кейлоггер (Trojan-Spy.Win32.Delf) и бэкдор (Backdoor.Win32.Agent), предоставляющий удаленный VNC доступ к компьютеру жертвы. Кейлоггер перехватил пароль для доступа к системе ДБО. Пока бухгалтера не было на рабочем месте, злоумышленники с помощью Backdoor.Win32.Agent, используя VNC доступ к компьютеру, запустили от имени бухгалтера банковское ПО. Использовав перехваченный кейлоггером пароль, киберпреступники сформировали и отправили в банк платежное поручение на сумму около 300 тыс. руб. Чуть позже было сформировано и отправлено в банк еще одно платежное поручение — приблизительно на 3 млн. руб. Когда расследование близилось к завершению, мы обнаружили еще один любопытный факт: IP-адреса серверов управления всех вредоносных программ, использовавшихся в атаке, принадлежали одной подсети.
Схема атаки злоумышленников
В результате проведения расследования выяснилось, что злоумышленники действовали весьма оперативно и привели в исполнение свои преступные планы всего за четыре дня. Причем первые три дня ушли на подготовку, а все активные действия, связанные собственно с кражей денег, были осуществлены всего за несколько часов четвертого дня.
День 1. Злоумышленники отправили письмо бухгалтеру организации. Бухгалтер прочел письмо, открыл вложение, и на его компьютер была загружена программа Backdoor.Win32.RMS. В последующие дни с помощью этой программы злоумышленники наблюдали за действиями бухгалтера.
День 4. Злоумышленники с помощью программы Backdoor.Win32.RMS загрузили кейлоггер Trojan-Spy.Win32.Delf и перехватили пароль от банковского ПО. Чуть позже загрузили Backdoor.Win32.Agent и с его помощью подключились к компьютеру бухгалтера. Затем киберпреступники отправили в банк платежные поручения.
Оповещение жертв злоумышленников Так как злоумышленники использовали несколько IP-адресов из одной подсети, мы решили поподробнее исследовать управляющие серверы. Как оказалось, злоумышленники допустили ошибку при настройке сервера, в результате любой пользователь может просматривать HTTP-запросы к серверам злоумышленников. Таким образом мы смогли узнать IP-адреса, с которых посылались запросы по протоколу кейлоггера. Как оказалось, кейлоггером было заражено несколько компьютеров с разными IP-адресами.
У кейлоггера была одна особенность — при запуске на зараженном компьютере он загружал с управляющего сервера последнюю версию своего журнала. Таким образом, содержимое журнала кейлоггера мог получить любой пользователь, который откроет в браузере страницу вида «http://SERVER_NAME/JOURNAL_NAME». Мы решили подробней разобрать HTTP-запросы к серверу злоумышленников и увидели в них названия журналов, которые кейлоггеры присылали на управляющий сервер. Это позволило нам получить содержимое журналов всех жертв кейлоггера. Зачастую журналы содержали название организации, которой принадлежал зараженный компьютер, и контактные данные жертв (а IP-адрес жертвы можно было узнать с помощью уязвимости в управляющем сервере). Эта информация позволила связаться с другими жертвами (большинство из них были бухгалтерами средних и мелких организаций) и предупредить их о заражении, за что они были весьма нам благодарны.
Особенности банковских атак Как уже было сказано в начале статьи, атаку, о которой мы рассказали, можно назвать типичной атакой с целью хищения денежных средств.
Злоумышленники активно используют в своей деятельности приемы социальной инженерии, принуждая пользователей открыть нужный им файл. Персонал, имеющий отношение к коммерчески важной информации и к финансам компании, нуждается в обучении основам информационной безопасности. В компании должны действовать политики безопасности, сводящие к минимуму риск заражения корпоративной сети в результате элементарной беспечности сотрудников.
В целевых атаках на важные объекты могут использоваться новые эксплойты к еще неопубликованным уязвимостям. В таких случаях обычные средства обнаружения атак — например, IDS — оказываются недостаточно эффективными. Однако 0-day эксплойты слишком дороги для атак на обычные компании, поэтому, как правило, в таких атаках применяются эксплойты к уже известным уязвимостям. В таких ситуациях защитой может служить своевременное обновление ПО (в особенности «MS Office» и «Java») и качественное защитное решение с передовыми технологиями защиты от эксплойтов.
Еще одна особенность атаки — использование легального ПО. Эта тенденция активно развивается, и мы видим, что во многих атаках злоумышленники используют легитимные приложения для получения удаленного доступа, загрузки и запуска вредоносных файлов и т.д. Такие легальные программы не детектируются антивирусами, и единственная задача злоумышленников при использовании этих приложений в своих целях — обеспечить скрытность их функционирования. В данной атаке эту задачу решили с помощью модификации исполняемого файла программы «Remote Manipulator System», что позволило нам добавить сигнатуру измененного файла в антивирусные базы.
В случае использования неизмененного легального ПО единственным выходом будет обязательное оповещение системами защиты о запуске потенциально нежелательных программ. Пользователям, особенно работающим с финансовыми и другими важными документами, необходимо помнить, что никакая система безопасности не может обеспечить абсолютной защиты. Следует обращать внимание на системные уведомления и аномальное поведение компьютера и сообщать обо всех подозрительных событиях в системе в службу безопасности.
В идеале на компьютерах, используемых для осуществления платежей в системе ДБО, должен использоваться режим запрета по умолчанию — с ограниченным доступом в интернет и запретом на запуск постороннего ПО, не входящего в белый список. То же касается и компьютеров, на которых корпоративные пользователи работают с коммерчески значимой информацией.
Заключение В настоящее время основная сила, движущая киберпреступниками — жажда наживы. Доступ к системам ДБО — наиболее прямой и очевидный доступ к деньгам компаний и, как следствие, возможность их кражи. Неудивительно, что системы ДБО становятся все более популярной мишенью атак злоумышленников.
Системы ДБО обеспечены встроенной защитой, с работой которой хорошо знакомы пользователи этих систем… и злоумышленники. Использование паролей, ключевых файлов, аппаратных ключей и ограничение доступа по IP вызывает у пользователей ложное чувство абсолютной защищенности.
Однако все эти меры по отдельности или в совокупности не увеличивают безопасность, если компьютер, на котором они выполняются, скомпрометирован. Пароль может быть перехвачен, ключевой файл можно скопировать, а если злоумышленники создают скрытый рабочий стол, то они могут использовать оригинальный IP-адрес и подключенный бухгалтером токен.
Между тем, при расследовании инцидентов мы часто сталкиваемся со следующей ситуацией: на компьютере запустилось вредоносное ПО, по прошествии некоторого времени антивирус обновил свои базы и удалил его. После этого на компьютере, на котором произошел инцидент, продолжают работать и проводить бухгалтерские операции, будучи уверенными, что угроза миновала.
Необходимо понимать, что если вредоносная программа уже исполнилась, то следует считать такой компьютер скомпрометированным, так как зачастую первый файл является лишь загрузчиком. Основные вредоносные программы, которые загружаются первым файлом, постоянно обновляют себя, чтобы не допустить обнаружения антивирусами. Либо, как было отмечено выше, загружаются легальные программы, настроенные злоумышленниками на связь с их серверами. В такой ситуации программы, осуществляющие вредоносные действия, остаются необнаруженными.
Потери компании от такой беспечности могут быть весьма ощутимыми. Если на компьютере c критически важной информацией обнаружена вредоносная программа, то надо немедленно принимать меры по реагированию на инцидент.
Однако, как показывает наш опыт, организации зачастую бьют тревогу только тогда, когда проявляются последствия атаки киберзлоумышленников — финансовые потери или недоступность критических сервисов. При этом меры, которые принимают корпорации в рамках реагирования на такие инциденты, в большинстве случаев оказываются не эффективными, и часто приводят к усложнению расследования.
Поскольку вариантов атак может быть множество, не существует универсальных и всегда эффективных методик реагирования на инциденты. К примеру, в некоторых случаях немедленное выключение компьютера позволит сохранить данные, которые были бы безвозвратно удалены вредоносной программой по прошествии определенного времени. В других ситуациях отключение питания приведет к потере необходимых для расследования данных в оперативной памяти компьютера. Принять правильное решение может только специалист по расследованию инцидентов.
В любом случае при первом же подозрении на проникновение необходимо отключить от интернета и корпоративной сети компьютеры, которые, как подозревается, были скомпрометированы, и обратиться к специалистам по расследованию вирусных инцидентов.
Эффективно устранить последствия инцидента можно только после его детального расследования.
Полный текст статьи читайте на Лаборатория Касперского