CrimeWare: новый виток противостояния. ПО для кибер-преступников.

Публикация посвящена анализу ситуации, сложившейся в последнее время в области атак вредоносных программ на клиентов финансовых организаций. Наше внимание будет акцентировано как на противостоянии финансовых вредоносных программ (также известных как CrimeWare) и антивирусной индустрии, так и на противостоянии этих зловредов и финансового сектора. В нашей статье мы не будем останавливаться на методах заражения компьютеров пользователей и на иных способах атак на финансовые организации, используемых злоумышленниками (фишинг, социальная инженерия).

Введение

Публикация посвящена анализу ситуации, сложившейся в последнее время в области атак вредоносных программ на клиентов финансовых организаций. Наше внимание будет акцентировано как на противостоянии финансовых вредоносных программ (также известных как CrimeWare) и антивирусной индустрии, так и на противостоянии этих зловредов и финансового сектора.

В нашей статье мы не будем останавливаться на методах заражения компьютеров пользователей и на иных способах атак на финансовые организации, используемых злоумышленниками (фишинг, социальная инженерия).

Целью публикации является попытка ответить на вопрос: возможно ли в современных условиях эффективно противодействовать постоянно увеличивающемуся натиску вредоносных программ на финансовую индустрию.

Целевой аудиторией данной публикации являются специалисты финансовых учреждений, а также IT-профессионалы, интересующиеся данной проблематикой.

Перед тем как перейти непосредственно к содержательной части, хотелось бы подчеркнуть, что все представленные рейтинги финансовых организаций ни к коей мере не означают их ненадежность и не говорят о простоте «Ð²Ð·Ð»Ð¾Ð¼Ð°» их по сравнению с остальными игроками индустрии. Эти рейтинги зачастую зависят от популярности самой системы среди пользователей. Поэтому делать выводы о ненадежности систем защиты банка на основании приведенных материалов неверно.

Киберкриминал атакует

В последнее время мы все чаще и чаще слышим об успешных атаках злоумышленников на пользователей финансовых организаций. Чаще всего при атаках с применением вредоносных программ используется следующая последовательность действий: поиск жертв и их инфицирование, получение доступа или параметров для доступа к онлайн-банкингу, вывод средств.

Громкий пример последнего времени связан с семейством ZBot-toolkit (также данное семейство известно под именем ZeuS).

Этот вредоносный инструмент, специализирующийся на краже учетных записей пользователей для доступа к онлайн-банкингу, оставался активен на протяжении всего 2009 года и продолжает оставаться в настоящее время, словно насмехаясь над IT-специалистами, пытающимися закрыть бот-сеть ZeuS. По данным центра ZeuS Tracker на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем 20-50 тысячами зараженных компьютеров (зная эти цифры, легко можно подсчитать количество жертв). География расположения центров управления бот-сетью весьма обширна (рис. 1):

 Ð½Ð¾Ð²Ð¾Ðµ окно
Рис. 1. География центров управления бот-сетью ZBot/ZeuS. Данные ZeuS Tracker

Подобное географическое распределение позволяет обеспечить высокую живучесть бот-сети. Как показала недавняя практика, бот-сеть не выведешь из строя простым закрытием нескольких хостингов: начиная с 9 марта, Роман Хюссе, наблюдающий за бот-сетью с помощью ZeuS Tracker, отметил резкое уменьшение числа центров управления и связал это с отключением интернет-провайдера Troyak. К 11 марта число центров управления сократилось до 104. Однако спустя еще пару дней Troyak нашел нового телеоператора, и 13 марта число управляющих центров опять превысило 700 — радость, к сожалению, оказалась преждевременной.

И это далеко не единственный toolkit, направленный на кражу данных для доступа к финансовым средствам пользователей. Чего стоит toolkit Spy Eye, который не только занимается кражей данных, но и уничтожает своего конкурента ZBot/Zeus – что ж, виртуальные войны в действии.

Не менее известной стала бот-сеть Mariposa, включающая в себя 13 миллионов компьютеров по всему миру и ликвидированная испанской полицией в декабре 2009 года.

Пользователи зараженных компьютеров, входящих в состав всех этих бот-сетей, представляются злоумышленникам простыми денежными мешками — именно такими символами отображались зараженные компьютеры в панели управления бот-сети Spy Eye.

Антивирусная индустрия: технологический тупик?

Все это «Ð±Ð¾Ñ‚-хозяйство», о котором речь шла выше, является рассадником финансовых зловредов. С помощью таких вредоносных программ киберкриминал наживается, воруя денежные средства пользователей и постоянно находя новые жертвы. Цифры наглядно демонстрируют рост числа вредоносных программ в последние годы — тех программ, которые занимаются кражей данных клиентов банков и других финансовых компаний пользователей (рис. 2):


Рис. 2. Рост числа уникальных зловредов, используемых для кражи финансовых средств пользователей Данные «Ð›Ð°Ð±Ð¾Ñ€Ð°Ñ‚Ð¾Ñ€Ð¸Ð¸ Касперского»

Приведенные цифры показывают экспоненциальный поквартальный рост банковских зловредов с момента их первого появления до настоящего времени. Ситуацию усугубляет тот факт, что немалый процент из них на момент появления не детектируется антивирусными продуктами большинства производителей. Например, по данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «Ð¶Ð°Ñ‚ву».

Почему так происходит? Для наглядности рассмотрим, как организован процесс выпуска «Ð»ÐµÐºÐ°Ñ€ÑÑ‚Ð²Ð°» с использованием обычных антивирусных баз. Сам процесс может незначительно отличаться у разных антивирусных производителей, но в целом он именно такой (рис. 3):

 Ð½Ð¾Ð²Ð¾Ðµ окно
Рис. 3. Процесс выпуска обновлений сигнатурных баз

Рассмотрим эту схему:

  • step 1. С началом распространения злоумышленником вредоносного файла первоочередной задачей антивирусной компании является выявление и получение образца (сампла) этой вредоносной программы. Данная цель может достигаться различными способами: файл будет прислан пострадавшим, получен системами автоматического перехвата или сбора вредоносных образцов или в результате обмена файлами с партнерами и т.д. Однако, учитывая особенности распространения зловредов, несмотря на большое число каналов для получения самплов далеко не всегда есть возможность получить ITW-образец оперативно.
  • step 2. После получения образца начинается его анализ. Этот этап может выполняться как автоматическими системами, так и вирусными аналитиками. Итогом данного этапа является добавление сигнатуры в антивирусные базы.
  • step 3. После того как сигнатура добавлена в антивирусные базы, начинается процесс тестирования. Задачей тестирования является выявление возможных ошибок в новых добавленных записях.
  • step 4. По окончании тестирования обновление доставляется пользователю антивирусного продукта.

От момента появления вредоносного файла до фактического получения пользователем антивирусного обновления может пройти несколько часов. Обусловлено это объективными задержками на каждом этапе. Безусловно, по истечении этого времени пользователь будет надежно защищен. Но парадокс состоит в том, что эта защита зачастую многим уже просто не поможет. Если компьютеры пользователей были заражены, то с большой вероятностью персональные данные жертв уже были отправлены злоумышленнику. С помощью полученных антивирусных баз продукт просто обнаружит цифрового вора, если он еще остался на компьютере пользователя, но данные уже не вернешь.

Весь процесс выпуска антивирусных обновлений злоумышленникам прекрасно известен, они хорошо осведомлены о скорости выпуска антивирусных баз и прекрасно понимают, что детектирование их творений — это всего лишь вопрос времени. Именно поэтому они часто выбирают следующую тактику нападения: выпускается вредоносный файл, а через несколько часов, когда антивирусы должны начать его детектировать, к выпуску уже готов новый, у которого есть несколько часов «Ð½ÐµÐ´ÐµÑ‚ÐµÐºÑ‚Ð¸Ñ€ÑƒÐµÐ¼Ð¾ÑÑ‚Ð¸». И так далее. В результате, несмотря на то что антивирусная индустрия в состоянии обеспечить надежное детектирование угроз, старые добрые антивирусные технологии не всегда позволяют это сделать так быстро, как того требует реальность.

Резюмируя содержимое данного раздела, отметим следующее:

  • скорость реакции таких антивирусных технологий, как сигнатурное и generic-детектирование, не отвечает требованиям времени, т.к. вредоносная программа часто успевает украсть данные пользователя и переслать их злоумышленникам до того, как запись в антивирусные базы добавлена, и пользователь получил обновление;
  • число угроз, атакующих клиентов финансовых организаций, растет экспоненциально.

Финансовые организации: защита клиентов

В ситуации, описанной выше, когда скорость выпуска антивирусных обновлений в ряде случаев перестает отвечать потребностям времени, финансовые организации пытаются внедрять собственные способы аутентификации клиентов, чтобы уменьшить риск и максимально затруднить киберпреступникам вывод средств с помощью CrimeWare.

И надо признать, что в последние годы финансовые организации весьма преуспели в деле внедрения дополнительных методов аутентификации клиента. Ниже перечислим некоторые из этих методов:

  • TAN-коды (Transaction Authorization Number — одноразовый пароль для подтверждения транзакций);
  • виртуальные клавиатуры;
  • «Ð¿Ñ€Ð¸Ð²ÑÐ·ÐºÐ°» клиента к фиксированным IP-адресам;
  • секретные вопросы и ключевые слова;
  • использование аппаратных ключей для дополнительной аутентификации;
  • биометрические системы аутентификации.

Мы не будем останавливаться на том, как злоумышленники преодолевают эти преграды, все это описано в упомянутой выше статье «ÐÑ‚Ð°ÐºÐ° на банки». Заметим лишь, что способы обмана защиты существуют и с успехом используются злоумышленниками.

Безусловно, принятые меры во многом усложнили жизнь киберкриминалу, но панацеей не стали. Новости об очередных потерях продолжают поступать подобно сводкам с линии фронта:

  • FDIC: только за третий квартал 2009 года американские компании потеряли $120 млн. (почти все случаи потерь связаны с вредоносным кодом). www.computerworld.com;
  • UK Cards Association: потери от онлайн-банкинга за 2009 год на территории UK выросли на 14% и составили почти £60 млн.);
  • ФБР: в 2009 году в США злоумышленники украли у пользователей более полумиллиарда долларов США, что в 2 раза больше, чем годом ранее [PDF 4,77Мб].

По данным «Ð›Ð°Ð±Ð¾Ñ€Ð°Ñ‚Ð¾Ñ€Ð¸Ð¸ Касперского», по результатам I квартала 2010 года список самых популярных у злоумышленников финансовых организаций выглядит следующим образом:

Название организацииПроцент от общего числа атак
Bradesco group6,65%
Banco Santander group4,71%
Banco do Brasil3,92%
Citibank3,74%
Banco Itau3,33%
Caixa2,93%
Banco de Sergipe2,84%
Bank Of America2,36%
ABN AMRO banking group2,28%
Banco Nossa Caixa1,98%
Другие65,27%

 

Таблица 1. 10 самых популярных у злоумышленников финансовых организаций. По данным «Ð›Ð°Ð±Ð¾Ñ€Ð°Ñ‚Ð¾Ñ€Ð¸Ð¸ Касперского»

Этот список практически не меняется на протяжении последних нескольких лет.

Большинство лидирующих позиций в рейтинге заняты бразильскими банками. Причины этого подробно были рассмотрены в статье Дмитрия Бестужева «Ð‘Ñ€Ð°Ð·Ð¸Ð»Ð¸Ñ: страна, богатая банкерами».

Число атакованных банков, по нашим данным, только за первые три месяца 2010 года приближается к 1000.

Таким образом, несмотря на предпринимаемые финансистами меры защиты онлайн-банкинга, кибекриминал постоянно находит новые лазейки для получения своего лакомого куска.

Подведем краткие итоги:

  • в ответ на внедрение финансовыми организациями средств аутентификации киберкриминал изобретает средства обхода этой защиты. Далее процесс повторяется по спирали: защита–обход–защита–обход…;
  • суммы потерь от действий злоумышленников постоянно увеличиваются.

Существуют ли эффективные решения?

Попытаемся теперь дать ответ на главный вопрос: возможно ли в современных условиях дать отпор CrimeWare?

Сведем вместе список проблем, о которых говорилось выше и для которых желательно найти решение применительно к банкам и компаниям, имеющим дело с деньгами клиентов:

  • скорость выпуска антивирусных баз (время от появления ITW-зловреда до получения пользователем обновления) не отвечает современным требованиям;
  • число угроз, направленных против клиентов финансовых учреждений, растет экспоненциально;
  • предлагаемые финансовыми организациями схемы защиты клиентов не всегда решают проблему утечки финансовых средств клиентов в тех случаях, когда кража происходит с использованием троянских программ.

Напрашивается вывод, что все плохо: антивирусная индустрия не успевает, активность злоумышленников растет, эффективно защитить клиентов банков не всегда получается и т.д. Однако нет: технологии постоянно развиваются, и сегодня у лидеров антивирусного рынка есть что противопоставить киберпреступникам.

В настоящее время некоторые игроки антивирусного рынка уже имеют в своем арсенале in-the-cloud технологии, позволяющие в реальном времени выявлять и блокировать неизвестный вредоносный контент и источники его распространения. Речь идет о клиент-серверных технологиях, ориентированных на анализ метаданных об активности вредоносных программ на компьютерах пользователей. Подчеркнем, что эти метаданные отправляются только с согласия пользователей и не содержат какой бы то ни было частной информации.

Отличает эту технологию от детектирования антивирусными базами объект анализа. Если антивирусное ядро может анализировать только непосредственно объект исследования в конкретной системе (файл или его поведение на данном компьютере, например), то анализ полученных от пользователей метаданных позволяет эффективно выявлять подозрительную активность в реальном времени сразу на множестве компьютеров, а затем блокировать выявленные угрозы и источник их распространения. На практике пользователи такой распределенной сети защищены уже через несколько минут после появления угрозы.

Таким образом, использование антивирусных in-the-cloud технологий дает целый ряд преимуществ:

  • оперативное детектирование в течение нескольких минут после возникновения угрозы (в отличие от нескольких часов, которые требуются для обновления антивирусных баз);
  • значительное повышение уровня детектирования антивирусных продуктов, так как в дополнение к давно существующим технологиям используются новые и, как показывает практика, весьма эффективные механизмы выявления новых угроз;
  • оперативное выявление и блокирование не только самих угроз, но и источников их распространения;
  • Кроме того, использование данных технологий дает возможность полного понимания ситуации: в какое время, в каком месте, кто атаковал, в каком количестве пострадали пользователи, сколько пользователей было защищено и т.д.

Что это дает финансовым организациям? Подобные решения имеют возможность автоматически, в реальном времени, уведомлять финансовые структуры о появлении новых угроз, направленных против их клиентов. В таких уведомлениях могут быть указаны подробные параметры угроз и представлены инструкции по борьбе с ними.

Также востребованным оказывается сервис по предоставлению персонального доступа финансовым организациям в так называемую ситуационную комнату. Это web-ресурс, зайдя на который под персональным логином и паролем, посетитель может получить информацию в гораздо большем объеме, чем она содержится в почтовых уведомлениях: например, любую отчетность и аналитику, связанную с его организацией, его регионом, с источниками атак на клиентов.

Однако результат внедрения таких систем уведомления и отчетности трудно назвать удовлетворительным в силу ряда причин:

  • Далеко не все клиенты банков имеют у себя на компьютере антивирусную программу, что не позволяет составить полную картину атак.
  • Чтобы информация могла быть проанализирована централизованно и в полном объеме, необходимо, чтобы все пользователи онлайн-банкинга использовали один и тот же антивирусный продукт, что само по себе труднодостижимо.
  • Существует проблема доверия: служба безопасности любого банка, едва услышав, что какая-то информация с компьютеров клиентов будет отправляться во внешний аналитический центр, принадлежащий сторонней компании, мягко говоря, будет весьма этим озабочена, что вполне естественно.

Все это значительно затрудняет выявление целевых атак.

Для получения полной картины действий киберпреступников против какого-либо банка разумным выходом лично мне представляется более тесное объединение усилий антивирусных компаний и финансовых организаций.

  • Для максимального охвата пользователей системы онлайн-банкинга решение для выявления вредоносной активности целесообразно интегрировать в клиентскую часть Ð