В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Юрий Машевский
Ведущий антивирусный аналитик «Лаборатории Касперского».
В последнее время мы все чаще и чаще слышим об успешных атаках злоумышленников на пользователей финансовых организаций. Чаще всего при атаках с применением вредоносных программ используется следующая последовательность действий: поиск жертв и их инфицирование, получение доступа или параметров для доступа к онлайн-банкингу, вывод средств.
Громкий пример последнего времени связан с семейством ZBot-toolkit (также данное семейство известно под именем ZeuS).
Этот вредоносный инструмент, специализирующийся на краже учетных записей пользователей для доступа к онлайн-банкингу, оставался активен на протяжении всего 2009 года и продолжает оставаться в настоящее время, словно насмехаясь над IT-специалистами, пытающимися закрыть бот-сеть ZeuS. По данным центра ZeuS Tracker на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем 20-50 тысячами зараженных компьютеров (зная эти цифры, легко можно подсчитать количество жертв). География расположения центров управления бот-сетью весьма обширна (рис. 1):
Рис. 1.
География центров управления бот-сетью ZBot/ZeuS.
Данные ZeuS Tracker
Подобное географическое распределение позволяет обеспечить высокую живучесть бот-сети. Как показала недавняя практика, бот-сеть не выведешь из строя простым закрытием нескольких хостингов: начиная с 9 марта, Роман Хюссе, наблюдающий за бот-сетью с помощью ZeuS Tracker, отметил резкое уменьшение числа центров управления и связал это с отключением интернет-провайдера Troyak. К 11 марта число центров управления сократилось до 104. Однако спустя еще пару дней Troyak нашел нового телеоператора, и 13 марта число управляющих центров опять превысило 700 — радость, к сожалению, оказалась преждевременной.
И это далеко не единственный toolkit, направленный на кражу данных для доступа к финансовым средствам пользователей. Чего стоит toolkit Spy Eye, который не только занимается кражей данных, но и уничтожает своего конкурента ZBot/Zeus – что ж, виртуальные войны в действии.
Не менее известной стала бот-сеть Mariposa, включающая в себя 13 миллионов компьютеров по всему миру и ликвидированная испанской полицией в декабре 2009 года.
Пользователи зараженных компьютеров, входящих в состав всех этих бот-сетей, представляются злоумышленникам простыми денежными мешками — именно такими символами отображались зараженные компьютеры в панели управления бот-сети Spy Eye.
Все это «бот-хозяйство», о котором речь шла выше, является рассадником финансовых зловредов. С помощью таких вредоносных программ киберкриминал наживается, воруя денежные средства пользователей и постоянно находя новые жертвы. Цифры наглядно демонстрируют рост числа вредоносных программ в последние годы — тех программ, которые занимаются кражей данных клиентов банков и других финансовых компаний пользователей (рис. 2):
Рис. 2. Рост числа уникальных зловредов,
используемых для кражи финансовых средств пользователей
Данные «Лаборатории Касперского»
Приведенные цифры показывают экспоненциальный поквартальный рост банковских зловредов с момента их первого появления до настоящего времени. Ситуацию усугубляет тот факт, что немалый процент из них на момент появления не детектируется антивирусными продуктами большинства производителей. Например, по данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «жатву».
Почему так происходит? Для наглядности рассмотрим, как организован процесс выпуска «лекарства» с использованием обычных антивирусных баз. Сам процесс может незначительно отличаться у разных антивирусных производителей, но в целом он именно такой (рис. 3):
Рис. 3. Процесс
выпуска обновлений сигнатурных баз
Рассмотрим эту схему:
От момента появления вредоносного файла до фактического получения пользователем антивирусного обновления может пройти несколько часов. Обусловлено это объективными задержками на каждом этапе. Безусловно, по истечении этого времени пользователь будет надежно защищен. Но парадокс состоит в том, что эта защита зачастую многим уже просто не поможет. Если компьютеры пользователей были заражены, то с большой вероятностью персональные данные жертв уже были отправлены злоумышленнику. С помощью полученных антивирусных баз продукт просто обнаружит цифрового вора, если он еще остался на компьютере пользователя, но данные уже не вернешь.
Весь процесс выпуска антивирусных обновлений злоумышленникам прекрасно известен, они хорошо осведомлены о скорости выпуска антивирусных баз и прекрасно понимают, что детектирование их творений — это всего лишь вопрос времени. Именно поэтому они часто выбирают следующую тактику нападения: выпускается вредоносный файл, а через несколько часов, когда антивирусы должны начать его детектировать, к выпуску уже готов новый, у которого есть несколько часов «недетектируемости». И так далее. В результате, несмотря на то что антивирусная индустрия в состоянии обеспечить надежное детектирование угроз, старые добрые антивирусные технологии не всегда позволяют это сделать так быстро, как того требует реальность.
Резюмируя содержимое данного раздела, отметим следующее:
В ситуации, описанной выше, когда скорость выпуска антивирусных обновлений в ряде случаев перестает отвечать потребностям времени, финансовые организации пытаются внедрять собственные способы аутентификации клиентов, чтобы уменьшить риск и максимально затруднить киберпреступникам вывод средств с помощью CrimeWare.
И надо признать, что в последние годы финансовые организации весьма преуспели в деле внедрения дополнительных методов аутентификации клиента. Ниже перечислим некоторые из этих методов:
Мы не будем останавливаться на том, как злоумышленники преодолевают эти преграды, все это описано в упомянутой выше статье «Атака на банки». Заметим лишь, что способы обмана защиты существуют и с успехом используются злоумышленниками.
Безусловно, принятые меры во многом усложнили жизнь киберкриминалу, но панацеей не стали. Новости об очередных потерях продолжают поступать подобно сводкам с линии фронта:
По данным «Лаборатории Касперского», по результатам I квартала 2010
года список самых популярных у злоумышленников финансовых организаций
выглядит следующим образом:
Таблица 1. 10 самых популярных у злоумышленников финансовых организаций. По данным «Лаборатории Касперского»
Этот список практически не меняется на протяжении последних нескольких лет.
Большинство лидирующих позиций в рейтинге заняты бразильскими банками.
Число атакованных банков, по нашим данным, только за первые три месяца 2010 года приближается к 1000.
Таким образом, несмотря на предпринимаемые финансистами меры защиты онлайн-банкинга, кибекриминал постоянно находит новые лазейки для получения своего лакомого куска.
Подведем краткие итоги:
Попытаемся теперь дать ответ на главный вопрос: возможно ли в современных условиях дать отпор CrimeWare?
Сведем вместе список проблем, о которых говорилось выше и для которых желательно найти решение применительно к банкам и компаниям, имеющим дело с деньгами клиентов:
Напрашивается вывод, что все плохо: антивирусная индустрия не успевает, активность злоумышленников растет, эффективно защитить клиентов банков не всегда получается и т.д. Однако нет: технологии постоянно развиваются, и сегодня у лидеров антивирусного рынка есть что противопоставить киберпреступникам.
В настоящее время некоторые игроки антивирусного рынка уже имеют в своем арсенале in-the-cloud технологии, позволяющие в реальном времени выявлять и блокировать неизвестный вредоносный контент и источники его распространения. Речь идет о клиент-серверных технологиях, ориентированных на анализ метаданных об активности вредоносных программ на компьютерах пользователей. Подчеркнем, что эти метаданные отправляются только с согласия пользователей и не содержат какой бы то ни было частной информации.
Отличает эту технологию от детектирования антивирусными базами объект анализа. Если антивирусное ядро может анализировать только непосредственно объект исследования в конкретной системе (файл или его поведение на данном компьютере, например), то анализ полученных от пользователей метаданных позволяет эффективно выявлять подозрительную активность в реальном времени сразу на множестве компьютеров, а затем блокировать выявленные угрозы и источник их распространения. На практике пользователи такой распределенной сети защищены уже через несколько минут после появления угрозы.
Таким образом, использование антивирусных in-the-cloud технологий дает целый ряд преимуществ:
Что это дает финансовым организациям? Подобные решения имеют возможность автоматически, в реальном времени, уведомлять финансовые структуры о появлении новых угроз, направленных против их клиентов. В таких уведомлениях могут быть указаны подробные параметры угроз и представлены инструкции по борьбе с ними.
Также востребованным оказывается сервис по предоставлению персонального доступа финансовым организациям в так называемую ситуационную комнату. Это web-ресурс, зайдя на который под персональным логином и паролем, посетитель может получить информацию в гораздо большем объеме, чем она содержится в почтовых уведомлениях: например, любую отчетность и аналитику, связанную с его организацией, его регионом, с источниками атак на клиентов.
Однако результат внедрения таких систем уведомления и отчетности трудно назвать удовлетворительным в силу ряда причин:
Все это значительно затрудняет выявление целевых атак.
Для получения полной картины действий киберпреступников против какого-либо банка разумным выходом лично мне представляется более тесное объединение усилий антивирусных компаний и финансовых организаций.
Таким образом, более плотное взаимодействие антивирусных и финансовых компаний в борьбе с криминалом позволит убить двух зайцев сразу. Финансовым организациям подобный подход позволит минимизировать риск, сократить выплаты по результатам инцидентов. Антивирусным компаниям этот альянс позволит более эффективно противодействовать целевым атакам.
До настоящего момента в качестве участников борьбы против кибекриминала мы рассматривали лишь антивирусные и финансовые компании. Однако есть еще один участник, который, пожалуй, при всех имеющихся у него возможностях пока принимает недостаточное участие в борьбе. Речь идет о государстве.
Дело в том, что без поддержки государства победить криминал вряд ли удастся, особенно учитывая наличие границ между странами, которые сильно усложняют поимку киберпреступников, в то время как отсутствие границ в интернете дает преступникам полную свободу действий. Есть ли, например, у Корейского банка возможность быстро закрыть хостинг в Бразилии, пройдя через все имеющиеся госпроцедуры? Или у Бразильского банка закрыть вредоносный хостинг в Китае? Ответ очевиден: без наличия эффективных механизмов взаимодействия спецслужб различных стран успешное противодействие киберкриминалу видится затруднительным, и борьба напоминает перетягивание каната: как только появляются новые технологии против криминала, он создает новые способы обхода этих технологий. Далее все начинается сначала.
Ниже приведена география распределения вредоносных хостингов, занимающихся распространением финансовых зловредов, в первом квартале 2010 года (таблица 2).
Мы описали некоторые трудности, с которыми сталкиваются антивирусные компании и финансовые организации в борьбе с киберкреступниками, промышляющими кражей денег у клиентов онлайн-банкинга. Был рассмотрен один из возможных путей выхода из ситуации.
Предложенное решение может быть примененоне только в онлайн-банкинге. Так же эффективно можно отслеживать атаки на пользователей онлайн-игр, систем электронных денег и обменников (заметим, что такие атаки регистрируются заметно чаще, чем атаки на системы онлайн-банкинга).
Ну и безусловно стоит сказать о государственной политике в этой области – без помощи со стороны государства вся борьба с киберкриминалом будет вестись лишь с переменным успехом. Пока не будет механизмов оперативной коммуникации госслужб, проблема будет оставаться нерешенной.
Опубликовано: Сайт ITSec.Ru-2010