14 ноября, среда 10:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Возможно появился червяк по БСС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Возможно появился червяк по БСС

    Недавно произошел инцидентик, с клиентского счета срисовали денюжек немного. Через БК(БСС) был выполнен перевод в другой банк(на физлицо), от туда денюжки сняли через карточку и вебмани.
    При общении с СБ банка получателя выяснилось что это не единичный случай. И везде в переводы выполнялись через БК БСС(тонкий клиент).
    Мне кажется что появился червячок срисовывающий логин/пароль и секретный ключ если он лежит в открытом виде.
    Я так думаю что банки использующие БСС должны предупредить клиентов об этой угрозе...

    Анализ действий злоумышлиника говорит о том, что он знает как работает БСС, как работает банк(рейсы, платежи, контроль)...
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

  • #2
    Romsan,

    специального червячга для БСС не нужно, если клиенты хранят ключи на жестких дисках, флешках и прочих носителях, а еще в бэкапы ключики откладывают и проч и проч - потырить ключ вааще не проблема, ровно также как и пасс в акаунт.
    еще можно учесть, что кучу народу посокращали в том числе и одминов. )
    и, думаю, что в 99% случаев виноваты сами клиенты. у некоторых даже антифирей не стоит - при чом тут банк?

    Комментарий


    • #3
      банк должен использовать появляющиеся возможности обезопасить клиента.
      Я думаю не сложно запустить циркулярное письмо по клиентам. А польза будет и банку и клиенту.
      Подавая сигналы в рог будь всегда справедлив, но строг. ©

      Комментарий


      • #4
        хах.
        http://www.securitylab.ru/virus/383350.php
        Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 25988 байт. Упакована при помощи UPX. Распакованный размер — около 53 КБ. Написана на C++.

        Деструктивная активность

        После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:

        [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"путь к оригинальному файлу троянца>" ="путь к оригинальному файлу троянца>:*:Enabled:RASS Server"Если троянец находит в системе файл с именем:

        iBank

        то производит загрузку файлов с одного из следующих URL:

        http://213.182.197.***/update/javaw.exe

        Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb.

        http://213.182.197.***/update/bss.exe

        Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv.

        http://213.182.197.***/update/fak.exe

        Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.

        Если троянец находит в системе файлы с именами:

        Core.exeBS-DefenderBSClntТо троянец производит загрузку файла со следующего URL:

        http://213.182.197.***/update/socks5.exe

        На момент создания описания ссылка не работала.

        Загруженные файлы троянец сохраняет под следующими именами соответственно:

        %Program Files%\Common Files\sqlserv.exe%Program Files%\Common Files\sqlbrowser.exe%Program Files%\Common Files\sql.exe%Program Files%\Common Files\sqlbrowse.exeПосле успешного сохранения файлы запускаются на выполнение.

        Если троянец находит в системе файл с именем:

        LBank

        То троянец завершает свою работу.

        Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat":

        %Temp%\del.batВ данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.
        Подавая сигналы в рог будь всегда справедлив, но строг. ©

        Комментарий


        • #5
          Так троянец заточен под БСС и Ибанк?

          Предупреждать пользователя о возможных угрозах - хороший тон.

          Комментарий


          • #6
            Romsan,

            еще раз повторю - это не специальный троянец под БСС. если вы храните закрытый ключ на носителе с которого его можно потырить - его потырят, если на машину получен доступ - не нужно иметь 1645693 пядей во лбу, чтобы понять где установлен банк-клиент.

            если ИБ в банке работает - то такие письма рассылаются, если нет - не рассылаются

            Комментарий


            • #7
              Конечно не специальный. Просто при нахождении папки iBank он выполняет некоторые инструкции. Конечно это нормально что подгруженные модули тырят ключи и логины. И эти логины и ключи попадают в руки к случайным людям, не имеющим ни одного пядя во лбу.

              Есть данные что это не первая вредоносная программа направленая на Банк-Клиенты?

              Я думаю что было бы не плохо иметь реестр этих "не специальных вирусов".
              Подавая сигналы в рог будь всегда справедлив, но строг. ©

              Комментарий


              • #8
                Судя по:

                Если троянец находит в системе файлы с именами:

                Core.exeBS-DefenderBSClntТо троянец производит загрузку файла со следующего URL:

                http://213.182.197.***/update/socks5.exe


                То это и означает, что он качает что-то, заточеное под БСС.

                Если троянец находит в системе файл с именем:

                iBank

                то производит загрузку файлов с одного из следующих URL:

                http://213.182.197.***/update/javaw.exe


                Отсюда следует что он заточен и под ибанк.

                Что это за экзешники - фиг знает. Trojan-Spy.Win32.Agent.ayjb... подозрительно мало описания для него)

                Определить Где лежат ключи - задача не такая уж и сложная. От поиска файлов по маске, до просмотра ключей реестра или перехвата функцйи БК.

                Под Ибанк2 были и раньше трои, было даже письмо как по банкам, так и для пользователей - рекомендовали(впаривали) Токен(ИМХО не выход не фига). Думаю написать хук, который вешается на функцию подписи, перехватывает документ до подписи, а затем подсовывает свой документ - задача не очень сложная. Правда в ринг-0 что б попасть, нужно троян запустить под правами нужными) Хотя и тогда можно заюзать любой виндовый эксплойт по повышению привилегий в системе. Короче юсб-токены не панацея, хотя риски снижают.

                Комментарий


                • #9
                  Токен(ИМХО не выход не фига). Думаю написать хук, который вешается на функцию подписи, перехватывает документ до подписи, а затем подсовывает свой документ - задача не очень сложная. Правда в ринг-0 что б попасть, нужно троян запустить под правами нужными) Хотя и тогда можно заюзать любой виндовый эксплойт по повышению привилегий в системе. Короче юсб-токены не панацея, хотя риски снижают.
                  Тоже думаю об этом. У всех клиентов токены, но одни приносили свой ноут - ни файера, ни антивиря, ни элементарных заплаток. Людишки ворочают сотнями лимонов в месяц. Сказал, чтоб админа напрягли. И ещё разослал письма всем клиентам (вдобавок к памятке). Что ещё предпринять?

                  Комментарий


                  • #10
                    Сообщение от Romsan Посмотреть сообщение
                    Я так думаю что банки использующие БСС должны предупредить клиентов об этой угрозе...
                    У меня еще есть ОГРОМНАЯ ПРОСЬБА к разработчикам по доработке, чтобы больше писалось бы во внутренний трассировщик rts, и чтобы в логе внутреннего трассировщика было бы больше информации, в таких случаях.

                    Комментарий


                    • #11
                      Предпринимать должны что-то клиенты. Это их ПО, их ключи, их фирма и их деньги. Ещё в опер зале люди внимательные должны быть, что бы подозрительные платёжки вычислять.

                      Комментарий


                      • #12
                        don_huan,
                        рекомендовали(впаривали) Токен(ИМХО не выход не фига). Думаю написать хук, который вешается на функцию подписи, перехватывает документ до подписи, а затем подсовывает свой документ - задача не очень сложная. Правда в ринг-0 что б попасть, нужно троян запустить под правами нужными) Хотя и тогда можно заюзать любой виндовый эксплойт по повышению привилегий в системе. Короче юсб-токены не панацея, хотя риски снижают.
                        surfer
                        Тоже думаю об этом. У всех клиентов токены, но одни приносили свой ноут - ни файера, ни антивиря, ни элементарных заплаток.

                        да ладно парни (сам не фанат И-Банк, с БССой сам мучаюсь - не хорошие они ( обдирают честной народ), но на сколько мне известно, вот у ИБанков как раз таки реализованно приблизительно следующее - на вход токена попадает не подписанный док, соответственно внутри подписывается ЭЦП-ой и на выходе уже подписанный документ. какой нафинг хук? как ты закрытый ключ из токина попрешь? как раз таки, на мой взгляд, токен+ЭЦП даже очч и панацея. Ибанков памому давно поломали, но после внедрения такого решения - вроде как тихо стало.

                        Zoomer
                        У меня еще есть ОГРОМНАЯ ПРОСЬБА к разработчикам по доработке, чтобы больше писалось бы во внутренний трассировщик rts, и чтобы в логе внутреннего трассировщика было бы больше информации, в таких случаях.
                        очень напоминает что-то типа: дяденьки, не бейте, пажаласта?!
                        приходилось когда-нибудь встречаться сколько эти воротилы за доработки берут? как реализованна у них система перехаода на новые версии? техподдержка стандартных и не стандартных версий? вы еще президенту напешите, чтобы рассею перестали грабить и гандурас нам название наше вернул.

                        Комментарий


                        • #13
                          xell, я предложил пошлый алгоритм:

                          Ставим хук на функцию подписи. Там НЕ ПОДПИСАННЫЙ документ.
                          Ловим вызов. меняем не подписанный документ, на ЗЛОЙ документ.
                          Далее всё это идёт в драйвер токена и в железо. Там подписывается ЗЛОЙ документ. и возвращается в нашу функцию. Далее в зависимости от архитектуры ПО, мы на функции вывода суём старый, оригинальный, документ, мол он подписан... а на сервер отправляем подписанный ЗЛОЙ.

                          Комментарий


                          • #14
                            don_huan,

                            гммм, интересно.

                            господа Ибанковцы? как вам такое?

                            Комментарий


                            • #15
                              гммм, интересно. Нехай пишет. По моему, очень даже панацея. Мы сами взяли токены, прочитали лекцию среди клиентов, народ берет. iBank.
                              С уважением, Антон

                              Комментарий


                              • #16
                                ДонХуан + 1 (подробно расписал идею)
                                Об этом разговор и идёт.
                                господа Ибанковцы? как вам такое?
                                Я не И-Банковец. Но, думаю, до других систем тоже доберутся, в первую очередь долбят или самое простое, или самое распространённое...
                                Вывод: Клиенты сами должны защищать свои бабки.
                                А банкам пора организовывать процедуру приёмки рабочего места клиента перед выдачей токена: СЗИ НСД, Firewall, Антивирус и прочие средства ...
                                И всё сертифицировано... Шучу

                                Комментарий


                                • #17
                                  Demin Снижает риски - да. 100% защита - нет. Суть в возможности, пока что теоретической, подделки документа ДО подписи. Технология руткитов типа. Панацеи не бывает в этом деле, что и хорошо, иначе бы не было работы у нас)

                                  Комментарий


                                  • #18
                                    Для БСС есть патч который существенно снижает риск пострадать от таких троянов. Патч безопасности 17.5.300. Там кстати много чего сделано по этой тематике, включая логирование. Так что неплохо бы ознакомиться что к чему. К сожалению как не крути, а грамотность пользователей в области защиты пока не на высоте. Отсутствие антивирусов и файрволов по размерам само похоже на эпидемию.

                                    Комментарий


                                    • #19
                                      Обновление 17.5.300:
                                      1) Дополнительно расширен список поддерживаемых системой «ДБО.BS-Client» комбинаций сертифицированных средств криптозащиты информации и аппаратных ключевых носителей - токенов, позволяющая обеспечить хранение клиентских ключей СКЗИ производства компаний Крипто-Про и Сигналком на защищенных устройствах eToken компании Aladdin Software Security R.D. и Rutoken компании ЗАО «Актив-софт».
                                      Данная мера предоставляет кардинально повысить уровень безопасности.
                                      2) Дальнейшим усовершенствованиям подвергся механизм парольной защиты подсистемы «Интернет-Клиент», позволяющий в настоящее время:
                                      а. осуществлять проверку качества клиентских паролей;
                                      б. задавать минимальную длину паролей;
                                      в. указывать период запрета на повторное использование паролей;
                                      г. задавать период действия паролей;
                                      д. задавать для каждого пользователя дату окончания срока действия пароля;
                                      е. задавать для каждого пользователя признак необходимости смены пароля при следующем входе.
                                      3) Доработаны механизмы аутентификации клиентов подсистемы «Интернет-Клиент» с целью защиты от возможных атак злоумышленников путем подбора логина/пароля пользователя с помощью программ-роботов.
                                      4) Расширена поддержка дополнительных идентификационных признаков, позволяющая ограничивать доступ к подсистеме «Интернет-Клиент» путем установки ограничений на значения и диапазоны MAC-адресов компьютеров, с которых разрешен доступ клиентов в систему.
                                      Данная мера может только несущественно повысить уровень безопасности подсистемы «Интернет-Клиент», создавая неизбежную дополнительную нагрузку на службу поддержки Вашего Банка.
                                      5) Добавлена возможность снизить риск несанкционированного доступа к услугам ДБО при компрометации пароля и криптографических ключей путем использования механизма дополнительной аутентификации клиентов по сеансовым ключам.
                                      Использование механизма одноразовых сеансовых ключей также позволит кардинально повысить уровень безопасности подсистемы «Интернет-Клиент».
                                      6) В подсистеме "Интернет-Клиент", для клиентов добавлена возможность просмотра информации о последнем входе в систему, в том числе дату и время последнего входа, IP и/или MAC-адрес устройства, с которого производился вход.
                                      7) Добавлены дополнительные возможности механизма журналирования событий безопасности, позволяющие фиксировать наступление целого ряда событий так или иначе связанных с вопросами безопасности, таких, например, как:
                                      а. попытка входа в подсистему «Интернет-Клиент» с неверными логином, паролем, дополнительным идентификатором (MAC-адресом);
                                      б. отказ в соединении на этапе криптографической аутентификации;
                                      в. успешная аутентификация пользователя;
                                      г. блокировка учетной записи пользователя системой или администратором.
                                      Использование данных механизмов, присутствующих в «ДБО BS-Client», позволит значительно повысить уровень безопасности системы. Информация о наступлении событий доступна для просмотра администратором Банка и может быть передана клиенту через подсистему «Сервер Нотификации» путем SMS-информирования на зарегистрированный в системе номер его мобильного телефона, или на e-mail клиента, предупреждая и предотвращая, таким образом, мошеннические действия.

                                      Все подробности можно получить в службе поддержки или BSS.

                                      http://www.bssys.com/new/110/

                                      Комментарий


                                      • #20
                                        Эх. Теория суха, мой друг, но древо жизни вечно зеленеет. У меня 500 пользователей системы клиент-банк. Минимум 1 раз в полчаса один из пользователей ошибается при вводе пароля. Минимум раз в 2 часа один из пользователей пытается начать работу с неправильным (не нашим или нашим, но другого юр.лица) ключом.

                                        И верите ли - за этим шквалом ложноположительных сообщений "спасайтесь, волк!" - совершенно нереально собственно заметить волка.

                                        Это чисто практическое соображение.

                                        Т.е. нужно не просто алерт "ой, пароль", а всё-таки паттерн: три подряд попытки перебора пароля. И не алерт, а таймаут на вводе. Прогрессивный. А то толку-то мне от sms на мобильник.
                                        /kiv

                                        Комментарий


                                        • #21
                                          В тексте по данной ссылке упоминается

                                          письмо ЦБ РФ №11-T "О рекомендациях для кредитных организаций по дополнительным мерам по информационной безопасности при использовании систем интернет-банкинга"

                                          Кто-нибудь из коллег видел это письмо?

                                          Комментарий


                                          • #22
                                            Сообщение от Myp3a Посмотреть сообщение
                                            В тексте по данной ссылке упоминается

                                            письмо ЦБ РФ №11-T "О рекомендациях для кредитных организаций по дополнительным мерам по информационной безопасности при использовании систем интернет-банкинга"

                                            Кто-нибудь из коллег видел это письмо?
                                            И видела и читала.
                                            Но куда-то заиграла распечатанный вариант. Горюю и ищу.

                                            Комментарий


                                            • #23
                                              Сообщение от Dolphina12 Посмотреть сообщение
                                              И видела и читала.
                                              Но куда-то заиграла распечатанный вариант. Горюю и ищу.
                                              Нашел дату письма - 30.01.2009, но его в Консультанте нет. ДСП что-ли? К нам почтой не приходило.

                                              Комментарий


                                              • #24
                                                Это рекомендательное письмо...
                                                Последний раз редактировалось pan-alex; 10.09.2009, 12:37.

                                                Комментарий


                                                • #25
                                                  Сообщение от pan-alex Посмотреть сообщение
                                                  Это рекомендательное письмо...
                                                  Спасибо!

                                                  Комментарий


                                                  • #26
                                                    Наконец то идея с трояном и ЮСБ-Токеном нашла реализацию.
                                                    Товарищи в соседнем под-форуме - http://dom.bankir.ru/showthread.php?t=99228
                                                    Алексей Лукацкий на Рускрипто поднял актуальные вопросы, кстати 8) Жаль я сам только на следующий день приехал выступать и пропустил доклад Алексея, однако тема это реальная и угрозы - тоже реальные.

                                                    Комментарий


                                                    • #27
                                                      don_huan,

                                                      по ощущениям, реализацию она нашла еще в прошлом году и успешно использовалась и используется - судя по разговорам. эти реализации тырят ключи из оперативы - им все равно на носитель.
                                                      токен+эцп, ну наверное, небольшое время будет помогать, но если получено удаленное управление кампутиром клиента - ничего не поможет.

                                                      как уже не раз говорил, нужно как-то срочно население обучать ИБ.

                                                      Комментарий


                                                      • #28
                                                        В случае с иТокеном, из оперативы трой может тырить только ПИН и логин с паролем.

                                                        Насчет обучения населения:
                                                        Дорого. Не все население потянет аудит ИБ в сегменте своего БК 8))
                                                        Фичи типа поставить антивирус и на порнуху не ходить - не достаточны.

                                                        Сообщение от xell Посмотреть сообщение
                                                        don_huan,

                                                        по ощущениям, реализацию она нашла еще в прошлом году и успешно использовалась и используется - судя по разговорам. эти реализации тырят ключи из оперативы - им все равно на носитель.
                                                        токен+эцп, ну наверное, небольшое время будет помогать, но если получено удаленное управление кампутиром клиента - ничего не поможет.

                                                        как уже не раз говорил, нужно как-то срочно население обучать ИБ.

                                                        Комментарий


                                                        • #29
                                                          xell,
                                                          эти реализации тырят ключи из оперативы
                                                          Ключ не покидает носителя. Грубо: на входе - платёжка, на выходе - платёжка с ЭЦП.
                                                          токен+эцп, ну наверное, небольшое время будет помогать, но если получено удаленное управление кампутиром клиента - ничего не поможет.
                                                          как уже не раз говорил, нужно как-то срочно население обучать ИБ.
                                                          Согласен. Повышать уровень знаний по ИБ необходимо.
                                                          Придумал защиту: Берём защищённый бокс (типа закрытого КПК) с возможностью выхода в Инет. В боксе находится всё: ОС, броузер, клава, USB для токена. Бокс настроен на МАКСИМАЛЬНУЮ защиту и ТОЛЬКО под работу с данным банк-клиентом.
                                                          Не берусь судить о стоимости данного решения и о возможности МОБИЛЬНО применять сей девайс. Но как вариант...

                                                          Комментарий


                                                          • #30
                                                            surfer,

                                                            тогда LiveCD

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X