Upload
dejan-jeremic
View
213
Download
2
Embed Size (px)
Citation preview
Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru
Luka Milinković [email protected] rs.linkedin.com/in/lukamilinkovic
ICT Security 2015 Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Hakerski napadi • Finansijski sektor
• ATM i POS terminali
• Slanje zaraženih mail-ova
• Platne kartice, PIN-ovi, lozinke, nalozi…
• Zlonamerni softveri na mobilnim uređajima • Zaražene i zlonamerne aplikacije
2 Hotel Aquastar Danube, Kladovo ICT Security 2015
Hakerski napadi • Man-in-the-middle, man-in-the-browser (Dyre)
• Izmena računa na koji treba da se izvrši redovna uplata
• Prodaja i dopuna postojećih napada
• Eksterni napadi
• Interni napadi, insajderi
• Napadi kod dobavljača
3 Hotel Aquastar Danube, Kladovo ICT Security 2015
Equation group • Aktivna je još od 2001. (a možda i od 1996 – Windows 95/98/ME)
• Kompleksne vrste napada
• Koriste kriptografske algoritme i sofisticirane metode napada
• Modifikovana verzija RC5 algoritma, zatim RC4, RC6, AES, SHA-256…
4 Hotel Aquastar Danube, Kladovo ICT Security 2015
Equation group • EquationLaser je kompatibilan sa Windows 95/98
• Širi se prvenstveno preko CD-ova • Pretpostavlja se da se koristio za početno inficiranje računara
• GROK keylogger – napredna verzija keylogger-a, koji krade lozinke, ali i analizira druge podatke koji se unose
• Najmanje 4 zlonamerna softvera su koristila ne poznate propuste/ranjivosti
7 Hotel Aquastar Danube, Kladovo ICT Security 2015
DubleFantasy • Trojanac
• Napada preko interneta • Zaraženi CD-ovi sa materijalima sa naučnog skupa u Hjustonu • Aktuelna verzija je 13 (samo 4 verzije ispitane) • TripleFantasy je nadogradnja?
• Prvi stepen da bi se zarazio neki računar
• Analizira da li je žrtva zanimljiva • Koristi backdoor za napad na interesantne računare
• Ako je meta zanimljiva nadograđuje se na EquationDrug ili GrayFish
8 Hotel Aquastar Danube, Kladovo ICT Security 2015
EquationDrug i Gray Fish
• EquationDrug je dizajniran za Windows 95/98/ME
• SHA-256 (GrayFish)
• Reprogramiranje firmware-a hard diska da bi se obezbedio opstanak zlonamernog softvera
• Maxtor, IBM, Western Digital, Seagate, Hitachi, Toshiba…
9 Hotel Aquastar Danube, Kladovo ICT Security 2015
EquationDrug i Gray Fish • Zlonamerni softveri se mogu naći na posebnim sektorima diska, koji su zaštićeni od brisanja i formatiranja • Ovde se smeštaju i ukradeni podaci
• Ovi zlonamerni softveri se nekada koriste za razbijanje enkripcije
• Ne postoji jednostavan način da se proveri da li je hard disk zaražen ovim zlonamernim kodom • Može upis i izmena firmware-a, ali ne i čitanje
10 Hotel Aquastar Danube, Kladovo ICT Security 2015
Funny • Samoreplicirajući crv, koji se širi preko USB flash memorije
• Prenos podataka sa računara u izolovanoj mreži na računar koji je na internetu • Više od 300 domena i 100 servera u različitim zemljama gde se
šalju ukradeni podaci
• Zaražena USB flash memorija ima poseban zaštićeni deo memorije za prikupljanje osnovnih informacija o računaru van mreže
11 Hotel Aquastar Danube, Kladovo ICT Security 2015
Funny • Pojavio se 2008, a otkriven je u decembru iste godine
• Bezbednosni propust Microsoft-a
• Pojavio se nešto pre Stuxnet-a sa kojim postoji velika sličnost
• Razvijani su zajedno ili su dve hakerske grupe sarađivale
12 Hotel Aquastar Danube, Kladovo ICT Security 2015
Equation group
• Sličnost sa Regin-om zbog multi-maliciozne softverske platforme • Kompleksnost strukture
• Razvoj je trajao više meseci, a možda i godina
• Stručan i obučen hakerski tim
• Ko stoji iza?
13 Hotel Aquastar Danube, Kladovo ICT Security 2015
Carbanak • Internacionalna hakerska grupa
• Kinezi, Rusi, Ukrajinci i državljani drugih evropskih država
• Napadi traju od 2013. do danas
• Ukradeno skoro milijardu dolara u finansijskim institucijama širom sveta • Oko 100 bankarskih institucija u skoro 30 zemalja sveta
• Napadi su trajali od 2 do 4 meseca u istoj banci
14 Hotel Aquastar Danube, Kladovo ICT Security 2015
Postupak napada • I korak – Spear phishing (attachment ili link)
• .doc i .cpl (Control Panel Applet) fajlovi • Korišćeni su propusti u Microsoft Office 2003, 2007 i 2010
• II korak – zarazi se jedan ili više računara u banci
• III korak – traže se administratorski računari koji upravljaju video nadzorom ili računari na kojima je prikaz kamera koje nadgledaju rad na šalteru
• IV korak – podizanje novca
15 Hotel Aquastar Danube, Kladovo ICT Security 2015
Podizanje novca • eBnaking ili međunarodni sistem plaćanja (SWIFT) za prenos na račune u drugim bankama • 10 miliona dolara • Transfer novca na bankovne račune u SAD, Kinu…
• Podizanje novca na bankomatu
• 7,3 miliona dolara
• Klijenti nisu oštećeni
• Preko zlonamernog softvera napadači podignu vrednost računa nekog klijenta za, npr. 5.000 dolara, koje odmah i ukradu
16 Hotel Aquastar Danube, Kladovo ICT Security 2015
Tehnika napada
• Zlonamerni softver – svchost.exe • System, hidden, read-only • Original se briše
• Napadači nisu hakovali core sistem ili aplikacije za transfer novca
• Najviše vremena su koristili za učenje kako da obavljaju transakcije, a da se to brzo ne primeti
18 Hotel Aquastar Danube, Kladovo ICT Security 2015
PoSeidon
• Cisco je sprečio dalje širenje keylogger-a
• Podaci se šalju serverima hostovanim u Rusiji
• Napadači kradu informacije sa magnetne piste i PIN kodove
• Koriste se za pravljenje bele plastike i transakcije na ATM i PoS terminalima
20 Hotel Aquastar Danube, Kladovo ICT Security 2015
PoSeidon • Loader – pokušava da se održi na ciljanom računaru i posle resetovanja sistema • Verzija 11.4 • Kontaktira kontrolni server da bi preuzeo i instalirao keylogger
• FindStr – instalira se keylogger, skenira se memorija PoS-a i čekaju se nove transakcije • Verzija 7.1 • Prikupljene podatke šalje napadačima preko interneta
• 62% funkcionalnosti Loader i FindStr je ista
22 Hotel Aquastar Danube, Kladovo ICT Security 2015
Kako kriminalci funkcionišu? • Nextep, Bevo pos
• Zaustavili napad u roku od 36, odnosno 24 časa
• Common point of purchase (CPP) – zajednička tačka kupovine • Banke često kupuju nekoliko ukradenih kartica kada se pojavi nova
serija da vide da li je sve od jednog ili više trgovaca • Kriminalci prodaju kartice iz različitih krađa (od različitih žrtva) u
svakoj novoj seriji da bi zbunili istražitelje
• End-to-end enkripcija
23 Hotel Aquastar Danube, Kladovo ICT Security 2015
The Dyre Wolf • Posebna tehnika phishing napada
• Ukradeno preko milion dolara od ciljano napadnutih kompanija
• Prvo saznaju koje kompanije imaju transakcije sa većim sumama novca i onda njih napadaju
• Napad se oslanja na ljudsku grešku • Po IBM-ovoj proceni 95% svih napada se zasniva na ljudskom
faktoru
24 Hotel Aquastar Danube, Kladovo ICT Security 2015
The Dyre Wolf • Zaposlenima se šalje spam e-mail, koji sadrži zlonamerni softver • Ne gađa pojedinca, već kompaniju što ga razlikuje od većine
bankarskih trojanaca
• Zlonamerni softver download-uje Dyre
• Inficira računar kompanije i čeka da zaposleni poseti sajt banke
• Kada zaposleni pokuša da se uloguje na sajt banke prikaže se lažna poruka o problemu i uvek isti broj telefona za pomoć
25 Hotel Aquastar Danube, Kladovo ICT Security 2015
The Dyre Wolf • Pozivajući broj zaposleni direktno komunicira sa napadačem • Napadač uvek zna o kojoj banci se radi i pokušava da sazna
informacije o računu • Korisničko ime, lozinku, broj računa
• Novac se prebacuje na offshore račune u drugim bankama
• Istovremeno izvode i DDoS napad kako bi zamaskirali akciju tokom koje inficiraju računare
26 Hotel Aquastar Danube, Kladovo ICT Security 2015
The Dyre Wolf • Jedinstven napad – razgovor kriminalaca sa osobama, koje su napadnute
• Vuk u jagnjećoj koži!
• Većina antivirusnih softvera nije uspela da ga detektuje
• Rešenje – edukacija zaposlenih i test reakcije zaposlenih na mail-ovi sa phishing napadom
28 Hotel Aquastar Danube, Kladovo ICT Security 2015
Kako se zaštititi? • Ransomware u Hrvatskoj, BiH, Srbiji…
• Važno je da postoji back up • Nakon ovakvog uspešnog napada kompanija može da se ugasi
• Potencijalna pretnja
• Krađa informacija o klijentima • Onemogućavanje servisa na primarnoj lokaciji da bi se prešlo na
sekundarnu, a zatim kriptovanje ili uklanjanje podataka i na primarnoj i na sekundarnoj lokaciji
• Najmanje 50% IT budžeta će se koristiti za zaštitu korporativne mreže i podataka
29 Hotel Aquastar Danube, Kladovo ICT Security 2015
Kako se zaštititi? • Poštovanje međunarodno priznatih bezbednosnih standarda (ISO 27001, PCI DSS)
• Stalno unapređenje sistema i edukacija zaposlenih
BEZBEDNOST → 100%
RIZIK → 0%
30 Hotel Aquastar Danube, Kladovo ICT Security 2015
Hvala.
ICT Security 2015 Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković [email protected] rs.linkedin.com/in/lukamilinkovic