Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Расследование инцидентов в системах дистанционного банковского обслуживания (ДБО) Суханов Максим, Group-IB [email_address]...
Программа мастер-класса <ul><li>Общие сведения об инцидентах в системах ДБО. </li></ul><ul><li>Передача платежных поручени...
Используемые программные средства <ul><li>CAINE Live CD ( криминалистический Live CD на основе Linux ): </li></ul><ul><ul>...
Общие сведения об инцидентах в системах ДБО
Мошенничество в системах ДБО: принципы <ul><li>Неправомерная передача платежных поручений от имени какой-либо организации....
Борьба с неправомерными операциями Предотвращение неправомерной передачи ПП Блокирование исполнения ПП Противодействие выв...
Расследование инцидентов в системах ДБО Расследование инцидента Определение способа и следов передачи ПП Определение спосо...
Способы неправомерной передачи ПП <ul><li>Вредоносные программы </li></ul><ul><ul><ul><li>Передача злоумышленнику ключевой...
Способы неправомерной передачи ПП <ul><li>Вредоносные программы, семейства: </li></ul><ul><li>Shiz, Zeus (Zbot), SpyEye, C...
Маскировка платежных поручений <ul><li>Получатель платежа слабо отличается от получателей других платежных поручений. </li...
Сокрытие следов передачи ПП <ul><li>Вывод ОС Windows из строя: </li></ul><ul><ul><ul><li>Удаление системных файлов. </li><...
Передача платежных поручений с помощью средств удаленного управления
Средства удаленного управления <ul><li>TeamViewer  ( www.teamviewer.com ) </li></ul><ul><li>Гарантированный обход NAPT. </...
Средства удаленного управления <ul><li>Radmin  ( www.radmin.com ) </li></ul><ul><li>Программа со стандартными возможностям...
Средства удаленного управления <ul><li>RDP-сервер Windows </li></ul><ul><li>Установлен почти во всех версиях ОС (Windows X...
Средства удаленного управления <ul><li>RDP-сервер Windows XP </li></ul><ul><li>Решение проблемы одновременной работы №1: <...
Средства удаленного управления <ul><li>RDP-сервер Windows XP </li></ul><ul><li>Решение проблемы одновременной работы №2: <...
Следы средств удаленного управления <ul><li>Некоторые ключи реестра операционных систем Windows. </li></ul><ul><li>(директ...
Практическая часть: обнаружение следов работы средств удаленного управления
Вредоносные программы, ориентированные на системы ДБО
Вредоносные программы для систем ДБО <ul><li>Используемые типы вредоносных программ: </li></ul><ul><ul><li>Традиционные тр...
Вредоносные программы класса Win32.Shiz <ul><li>Основной функционал: </li></ul><ul><li>Перехват нажатий клавиш. </li></ul>...
Вредоносные программы класса Win32.Shiz <ul><li>В результате злоумышленник может: </li></ul><ul><li>Получить логин и парол...
Тенденции развития вредоносных программ <ul><li>Применение контркриминалистических методов: </li></ul><ul><ul><ul><li>Win3...
Следы работы вредоносных программ <ul><li>Два основных типа следов: исполняемые файлы и способ их автозапуска. </li></ul><...
Автозапуск вредоносной программы «Carberp» <ul><ul><li>Программы класса «Carberp» записывают в директорию автозапуска в пр...
Файлы вредоносной программы «Carberp» Метаданные (NTFS) файлов вредоносной программы:
Следы вредоносной программы «Win32.Shiz» <ul><ul><li>Ключ автозапуска в файле реестра типа SOFTWARE: </li></ul></ul><ul><l...
Ключи автозапуска в системном реестре <ul><ul><li>Известно большое число ключей, через которые возможен автозапуск програм...
Практическая часть: обнаружение следов работы вредоносных программ для систем ДБО
Восстановление данных при расследовании инцидентов
Пример: неудачное развитие инцидента <ul><li>1-й день </li></ul><ul><ul><li>неправомерная передача ПП, </li></ul></ul><ul>...
Неудачное развитие инцидента <ul><li>Результаты: </li></ul><ul><ul><li>Файлы вредоносной программы удалены. </li></ul></ul...
Принципы восстановления данных <ul><li>Восстановление удаленных файлов с использованием структур файловой системы (если ос...
Успешное расследование инцидента <ul><li>Восстановление файлов формата  portable executable  по заголовкам. </li></ul><ul>...
Практическая часть: восстановление данных при расследовании инцидентов
Несколько слов о Group-IB
Наши услуги <ul><ul><li>Реагирование на инциденты ИБ и их расследование. </li></ul></ul><ul><ul><li>Проведение криминалист...
Наши клиенты
Наши партнеры
Есть вопросы? ?
Upcoming SlideShare
Loading in …5
×

Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе ДБО

6,397 views

Published on

В рамках мастер-класса будут рассмотрены вопросы реагирования на инциденты в системах ДБО и их расследование.

Published in: Technology, News & Politics
  • Be the first to comment

  • Be the first to like this

Positive Hack Days. Суханов. Мастер-класс: Расследование инцидентов в системе ДБО

  1. 1. Расследование инцидентов в системах дистанционного банковского обслуживания (ДБО) Суханов Максим, Group-IB [email_address] www.group-ib.ru
  2. 2. Программа мастер-класса <ul><li>Общие сведения об инцидентах в системах ДБО. </li></ul><ul><li>Передача платежных поручений с помощью средств удаленного управления. </li></ul><ul><li>Практическая часть №1. </li></ul><ul><li>Вредоносные программы, ориентированные на системы ДБО. </li></ul><ul><li>Практическая часть №2. </li></ul><ul><li>Восстановление данных при расследовании инцидентов. </li></ul><ul><li>Практическая часть №3. </li></ul>
  3. 3. Используемые программные средства <ul><li>CAINE Live CD ( криминалистический Live CD на основе Linux ): </li></ul><ul><ul><li>The Sleuth Kit </li></ul></ul><ul><ul><li>reglookup </li></ul></ul><ul><li>VirtualBox ( виртуальная машина ). </li></ul>
  4. 4. Общие сведения об инцидентах в системах ДБО
  5. 5. Мошенничество в системах ДБО: принципы <ul><li>Неправомерная передача платежных поручений от имени какой-либо организации. </li></ul><ul><li>Исполнение платежных поручений. </li></ul><ul><li>Вывод денежных средств, их легализация. </li></ul>
  6. 6. Борьба с неправомерными операциями Предотвращение неправомерной передачи ПП Блокирование исполнения ПП Противодействие выводу ДС, их легализации задача ИБ задача ПМО-систем задача национальной системы ПОД/ФТ
  7. 7. Расследование инцидентов в системах ДБО Расследование инцидента Определение способа и следов передачи ПП Определение способа вывода и легализации ДС Путь перевода и обналичивания ДС Путь легализации ДС Автономные системы, IP-адреса, доменные имена и адреса эл. почты злоумышленника
  8. 8. Способы неправомерной передачи ПП <ul><li>Вредоносные программы </li></ul><ul><ul><ul><li>Передача злоумышленнику ключевой и парольной информации, необходимой для работы в системе ДБО. </li></ul></ul></ul><ul><ul><ul><li>Изменение реквизитов платежных поручений в момент передачи (подписания), т. н. «автозалив». </li></ul></ul></ul><ul><li>Средства удаленного управления ЭВМ </li></ul><ul><ul><ul><li>Формирование платежных поручений с использованием клиентской части системы ДБО компьютера в организации. </li></ul></ul></ul><ul><li>С помощью сотрудника организации </li></ul>
  9. 9. Способы неправомерной передачи ПП <ul><li>Вредоносные программы, семейства: </li></ul><ul><li>Shiz, Zeus (Zbot), SpyEye, Carberp и др. </li></ul><ul><li>Средства удаленного управления ЭВМ: </li></ul><ul><ul><ul><li>TeamViewer </li></ul></ul></ul><ul><ul><ul><li>Radmin </li></ul></ul></ul><ul><ul><ul><li>встроенный в ОС Windows RDP-сервер </li></ul></ul></ul><ul><ul><ul><li>и др. </li></ul></ul></ul>
  10. 10. Маскировка платежных поручений <ul><li>Получатель платежа слабо отличается от получателей других платежных поручений. </li></ul><ul><li>Назначение платежа соответствует виду деятельности организации и не противоречит характеру других платежных поручений. </li></ul><ul><li>Передача денежных средств несколькими платежными поручениями. </li></ul>
  11. 11. Сокрытие следов передачи ПП <ul><li>Вывод ОС Windows из строя: </li></ul><ul><ul><ul><li>Удаление системных файлов. </li></ul></ul></ul><ul><ul><ul><li>Перезапись первых секторов диска. </li></ul></ul></ul><ul><ul><li>Сотрудники организации не могут получить доступ к системе ДБО и обнаружить переданные платежные поручения. </li></ul></ul><ul><ul><li>Системный администратор переустанавливает ОС, что приводит к удалению следов мошенничества. </li></ul></ul>
  12. 12. Передача платежных поручений с помощью средств удаленного управления
  13. 13. Средства удаленного управления <ul><li>TeamViewer ( www.teamviewer.com ) </li></ul><ul><li>Гарантированный обход NAPT. </li></ul><ul><ul><li>Соединение через промежуточный сервер. </li></ul></ul><ul><li>Идентификатор и пароль для подключения автоматически передаются злоумышленнику (через дополнительный программный модуль) на веб-сервер или по протоколу ICQ. </li></ul>
  14. 14. Средства удаленного управления <ul><li>Radmin ( www.radmin.com ) </li></ul><ul><li>Программа со стандартными возможностями. </li></ul><ul><li>Отображение значка в области уведомлений отключается. </li></ul><ul><li>Пароль для подключения вводится злоумышленником заранее (через системный реестр). </li></ul>
  15. 15. Средства удаленного управления <ul><li>RDP-сервер Windows </li></ul><ul><li>Установлен почти во всех версиях ОС (Windows XP и др.). </li></ul><ul><ul><li>Серверные версии ОС: возможна одновременная удаленная и локальная работа учетных записей. </li></ul></ul><ul><ul><li>Клиентские версии ОС: при удаленном входе отключается учетная запись локального пользователя. </li></ul></ul>
  16. 16. Средства удаленного управления <ul><li>RDP-сервер Windows XP </li></ul><ul><li>Решение проблемы одновременной работы №1: </li></ul><ul><ul><li>Создание новой учетной записи для удаленной работы. </li></ul></ul><ul><ul><li>Подмена системной библиотеки. </li></ul></ul><ul><ul><li>Внесение изменений в системный реестр. </li></ul></ul><ul><ul><ul><ul><li>В итоге RDP-сервер Windows XP разрешает одновременную удаленную и локальную работу учетных записей. </li></ul></ul></ul></ul>
  17. 17. Средства удаленного управления <ul><li>RDP-сервер Windows XP </li></ul><ul><li>Решение проблемы одновременной работы №2: </li></ul><ul><ul><li>Установка и запуск BeTwin Service XP. </li></ul></ul><ul><li>«BeTwin 2000/XP is the software that allows multiple users to simultaneously and independently share a personal computer running Windows 2000 Professional, Windows XP Professional or Home Edition (32-bit)» </li></ul>
  18. 18. Следы средств удаленного управления <ul><li>Некоторые ключи реестра операционных систем Windows. </li></ul><ul><li>(директория: «/Windows/System32/config/») </li></ul>
  19. 19. Практическая часть: обнаружение следов работы средств удаленного управления
  20. 20. Вредоносные программы, ориентированные на системы ДБО
  21. 21. Вредоносные программы для систем ДБО <ul><li>Используемые типы вредоносных программ: </li></ul><ul><ul><li>Традиционные троянские программы: Zeus (Zbot) и SpyEye. </li></ul></ul><ul><ul><li>Специализированные троянские программы: Win32.Shiz и Carberp. </li></ul></ul><ul><ul><li>Малораспространенные троянские программы, написанные по заказу для ограниченного круга лиц: программы для «автозалива» в системе ДБО Сбербанка и др. </li></ul></ul>
  22. 22. Вредоносные программы класса Win32.Shiz <ul><li>Основной функционал: </li></ul><ul><li>Перехват нажатий клавиш. </li></ul><ul><li>Копирование ключевых файлов систем ДБО. </li></ul><ul><li>Копирование URL-адреса системы ДБО. </li></ul><ul><li>Экспорт сертификатов из веб-браузеров. </li></ul><ul><li>Запуск прокси-сервера. </li></ul><ul><li>Удаление всех системных точек восстановления. </li></ul><ul><li>Вывод ОС из строя. </li></ul><ul><li>Поддерживают все распространенные системы ДБО и ЭПС! </li></ul>
  23. 23. Вредоносные программы класса Win32.Shiz <ul><li>В результате злоумышленник может: </li></ul><ul><li>Получить логин и пароль для входа в систему ДБО. </li></ul><ul><li>Получить ключевые файлы для подписания ПП. </li></ul><ul><li>Обойти ограничения доступа в систему ДБО по IP-адресам. </li></ul>
  24. 24. Тенденции развития вредоносных программ <ul><li>Применение контркриминалистических методов: </li></ul><ul><ul><ul><li>Win32.Shiz: удаление точек восстановления, изменение даты создания файла программы. </li></ul></ul></ul><ul><ul><ul><li>Carberp: изменение временных меток файлов программы. </li></ul></ul></ul><ul><li>Формирование бот-сетей, состоящих из бухгалтерских ЭВМ. </li></ul><ul><li>Ориентирование на российские системы ДБО и банки. </li></ul><ul><li>Обход типичных методов защиты от неправомерного доступа: </li></ul><ul><ul><ul><li>Внедрение элементов средств удаленного управления. </li></ul></ul></ul><ul><ul><ul><li>«Автозалив». </li></ul></ul></ul>
  25. 25. Следы работы вредоносных программ <ul><li>Два основных типа следов: исполняемые файлы и способ их автозапуска. </li></ul><ul><li>Способы автозапуска: </li></ul><ul><ul><li>добавление исполняемых файлов или ссылок на них в пользовательскую директорию автозапуска; </li></ul></ul><ul><ul><li>автозапуск программы как сервиса; </li></ul></ul><ul><ul><li>иные способы автозапуска через системный реестр. </li></ul></ul><ul><li>Другие следы: файлы Prefetch, записи в файлах истории веб-браузера Internet Explorer, журналы клавиатурного шпиона вредоносной программы, копии ключевых файлов и т. п. </li></ul>
  26. 26. Автозапуск вредоносной программы «Carberp» <ul><ul><li>Программы класса «Carberp» записывают в директорию автозапуска в профиле пользователя* собственный исполняемый файл. </li></ul></ul><ul><ul><li>Временные метки этого файла изменяются на временные метки файла процесса с именем «smss.exe». </li></ul></ul><ul><li>* – Windows 7: «/Users/<учетная запись>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup» </li></ul>
  27. 27. Файлы вредоносной программы «Carberp» Метаданные (NTFS) файлов вредоносной программы:
  28. 28. Следы вредоносной программы «Win32.Shiz» <ul><ul><li>Ключ автозапуска в файле реестра типа SOFTWARE: </li></ul></ul><ul><li>/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit </li></ul><ul><ul><li>Журналы клавиатурного шпиона и копии криптографических ключей записываются в директорию «/Program Files/Common Files» или «/Documents and Settings/<учетная запись>/Application Data» ( для новых версий данной вредоносной программы в Windows XP) . </li></ul></ul>
  29. 29. Ключи автозапуска в системном реестре <ul><ul><li>Известно большое число ключей, через которые возможен автозапуск программ. </li></ul></ul><ul><ul><li>Некоторые ключи: </li></ul></ul><ul><li>Файлы реестра типа SOFTWARE: </li></ul><ul><ul><ul><li>/Microsoft/Windows/CurrentVersion/Run </li></ul></ul></ul><ul><ul><ul><li>/Microsoft/Windows/CurrentVersion/RunOnce </li></ul></ul></ul><ul><ul><ul><li>/Microsoft/Windows NT/CurrentVersion/Winlogon (параметр «Userinit») </li></ul></ul></ul><ul><ul><ul><li>/Microsoft/Windows/CurrentVersion/policies/Explorer/Run </li></ul></ul></ul><ul><li>Файлы реестра типа SYSTEM: </li></ul><ul><ul><ul><li>/ControlSet00X/Services (список системных сервисов и драйверов) </li></ul></ul></ul>
  30. 30. Практическая часть: обнаружение следов работы вредоносных программ для систем ДБО
  31. 31. Восстановление данных при расследовании инцидентов
  32. 32. Пример: неудачное развитие инцидента <ul><li>1-й день </li></ul><ul><ul><li>неправомерная передача ПП, </li></ul></ul><ul><ul><li>вывод из строя ОС компьютера бухгалтера. </li></ul></ul><ul><li>2-й день </li></ul><ul><ul><li>системный администратор переустанавливает ОС, </li></ul></ul><ul><ul><li>бухгалтер видит неправомерно переданные ПП. </li></ul></ul><ul><li>3-й день </li></ul><ul><ul><li>все в замешательстве. </li></ul></ul><ul><li>4-й день </li></ul><ul><ul><li>обращение в Group-IB. </li></ul></ul>
  33. 33. Неудачное развитие инцидента <ul><li>Результаты: </li></ul><ul><ul><li>Файлы вредоносной программы удалены. </li></ul></ul><ul><ul><li>Следы работы вредоносной программы удалены. </li></ul></ul><ul><li>Решение: восстановление данных! </li></ul>
  34. 34. Принципы восстановления данных <ul><li>Восстановление удаленных файлов с использованием структур файловой системы (если основные структуры файловой системы не были перезаписаны). </li></ul><ul><li>Восстановление удаленных файлов по заголовкам, окончаниям и внутренним структурам. </li></ul>
  35. 35. Успешное расследование инцидента <ul><li>Восстановление файлов формата portable executable по заголовкам. </li></ul><ul><ul><ul><li>Извлечение исполняемого файла вредоносной программы. </li></ul></ul></ul><ul><li>Поиск записей клавиатурного шпиона по ключевым словам. </li></ul><ul><ul><ul><li>Обнаружение значимых записей клавиатурного шпиона. </li></ul></ul></ul><ul><li>Восстановление файлов реестра Windows по заголовкам. </li></ul><ul><ul><ul><li>Определение даты и времени установки вредоносной программы. </li></ul></ul></ul>
  36. 36. Практическая часть: восстановление данных при расследовании инцидентов
  37. 37. Несколько слов о Group-IB
  38. 38. Наши услуги <ul><ul><li>Реагирование на инциденты ИБ и их расследование. </li></ul></ul><ul><ul><li>Проведение криминалистических исследований и судебных компьютерно-технических экспертиз. </li></ul></ul><ul><ul><li>Исследование вредоносных программ. </li></ul></ul><ul><ul><li>Правовое сопровождение. </li></ul></ul>
  39. 39. Наши клиенты
  40. 40. Наши партнеры
  41. 41. Есть вопросы? ?

×