Фродекс. Руслан Фахретдинов. "Проблемы безопасности АРМ КБР. Решение и опыт внедрения"

Г. КАЗАНЬ20 октября 2016#CODEIB

РУСЛАН ФАХРЕТДИНОВАналитик ИБ,компания «ФРОДЕКС»

Проблемы безопасности АРМ КБР. Решение и опыт внедрения

EMAILТЕЛЕФОН

[email protected]+7 495 967-65-19

ООО «ФРОДЕКС»Г. УФА, РФ

Вот и сказочке конец?По данным ТАССот 1 июня 2016 года.

*

Г. КАЗАНЬ20 октября 2016#CODEIB ООО «ФРОДЕКС»

Г. УФА, РФ

В ходе операции, проведенной одновременно в 15 регионах РФ сотрудники ФСБ и МВД при силовой поддержке войск Национальной гвардии РФ, задержали около 50 человек. Восемнадцать из них заключены под стражу. Авиация Национальной гвардии доставила фигурантов уголовного дела в следственные изоляторы Москвы.----------------------------------------------------------------------------------------------------------------------За период с октября 2015 г. по март 2016 г. FinCERT зафиксировал 21 атаку на инфраструктуру кредитных организаций. Злоумышленниками были совершены попытки хищения денежных средств на общую сумму порядка 2,87 млрд. руб. При этом предотвращено хищение порядка 1,6 млрд. руб.

Отчет FinCERT за период с 01.06.2015 по 31.05.2016.

*

Нет, подождите, а как же это


Г. УФА, РФ

По многочисленным просьбам они ещёи периодически перезаливаются.

Вспомним, как происходилиатаки на банки


Г. УФА, РФ

^ О первых атаках группировки на клиентов банков (компания ESET)

< Больше об атаках на банки (отчет компании Group-IB)



Г. УФА, РФ

I этап - киберпреступники начинали атаку с рассылки писем с вложением либо ссылкой на фишинговый ресурс.

Большинство антивирусов не определяло загрузчик как вредонос, а всезагружаемые программы имели действительную цифровую подпись.



Г. УФА, РФ

Отправитель письма Тема письма Файл/ссылка[email protected] «Информация для банковских

работников» Файл c расширением .zip

[email protected]

«Срочно! Обновленная база дропов»,

«Обновленная база дропов»

Ссылка на файл, размещенный на

мошенническом домене[email protected] «Вакансия

в Центральном Банке РФ» Файл с расширением .doc

[email protected] «Компроментация АРМ КБР»Файл с расширением .doc и

названием похожим на документы из FinCERT

и др.

Если документ распространялся без эксплойта, но с макросами, в документе находилась инструкция по их включению.


Г. УФА, РФ

II этап - при открытии скачанного файла-вложения автоматически запускалась проверка на язык системы и другие параметры.

А уже затем загружался сам файл загрузчика, который из сети Интернет скачивал, а затем и устанавливал все необходимые модули.


При сканировании сети вредонос искал не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР.


Г. УФА, РФ

III этап – после успешного заражения хотя бы одной машины, атакующие запускали вредонос, действующий по принципу червя, который обеспечивал живучесть в системе.

Вредоносное ПО сканировало сеть и пыталось заразить максимальное число компьютеров в сети, тем самым организовав бот-сеть.


Поддельные платежные порученияпопадают на АРМ КБР, даже если он отключен от сети.


Г. УФА, РФ

IV этап - в назначенный день X осуществляется атака – во входную папку АРМ КБР попадают поддельные платежные поручения.

В некоторых случаях мошенники только подменили р/с получателяв платежах на определенные банки, поэтому конечная сумма ичисло платежек не менялось.

В некоторых случаях были сформированы дополнительныеплатежные поручения (порядка 2000 штук).


Администраторы банка, в первую очередь, пытаются восстановить работоспособность сети, не проверяя платежи, отправленные через АРМ КБР.


Г. УФА, РФ

V этап – вредонос уничтожает следы преступления.

Он имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перезагружается и становится неработоспособным.


Морально устаревший протокол обмена АРМ КБР с внешними системами (через файлы).


Г. УФА, РФ

А почему АРМ КБР позволяетподменить платежи?

Взаимодействие между системами черезрасшаренные папки.


Г. УФА, РФ

Средства защиты в самом АРМ КБР?

I – Режим «шлюза с простановкой ЗК и КА».

Контроль только в АБС, а перемещению файлов в папку Apr ничего не мешает.


Г. УФА, РФ

Средства защиты в самом АРМ КБР?

II – Разделение функционала АРМ КБР на 2 ЭВМ.

Злоумышленник под учеткой администратора домена может обойти и эту «защиту».


Г. УФА, РФ

АРМ КБР отключен от сети.Можно спать спокойно?

Вариант подмены №1 – Троян модифицирует платежные поручения в момент записи на USB Flash.

На компьютере с АРМ КБР не обновляются базы антивируса и сама ОС.

Рабочее место администратора

банкаКомпьютер с АРМ КБРUSB Flash

Вариант подмены №2 – Вредонос инфицирует USB Flash, а затем заражает компьютер с АРМ КБР и модифицирует файлы в момент чтения с носителя.

На USB-носителе передаются поддельные платежи.


Г. УФА, РФ

Требования?«2.10.4 При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

….

- сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе;

- выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.»

Положение Центрального Банка РФ от 9 июня 2012 г. №382-П


Г. УФА, РФ

Решение проблемы• Контроль входящих и исходящих платежей через АРМ КБР;

• Возможность остановки рейса с поддельными платежами;

• Оповещение администратора для реагирования на инцидент (по нескольким каналам);

• Проверка извещений по подтверждениям платежей (ED206).* Наличие и использование других мер и

средств защиты (антивирус, IDS/IPS и др.) только приветствуется, но м.б. недостаточно.

для АРМ КБР


Г. УФА, РФ

Где платеж можно остановить?

Время реагирования на инцидент крайне важно.

для АРМ КБР

Банк-отправитель (пользователь

FraudWall)

Центробанк (FinCERT)

Банк-получатель


Г. УФА, РФ

Что нужно для внедрения?

выполнение условий для подготовки к развертыванию решения;

приобретение средств для реализации доп. оповещения и остановки (по желанию, но настоятельно рекомендуется);

приобретение лицензии на FraudWall для АРМ КБР (для банков, уже эксплуатирующих FraudWall для ДБО (АБС), - бесплатно);

создание виртуальных серверов FraudWall (1CPU, 1 ГБ ОЗУ, 24 ГБ HDD).


Г. УФА, РФ

«Кот в мешке» или нет?

Решение FraudWall для АРМ КБР протестировано и находится в промышленной эксплуатации в банковских организациях РФ (есть опыт эксплуатации в банках Татарстана).

Дополнительный функционал, предложенный нашими клиентами, в случае актуальности для банковского сообщества, может быть реализован в рамках технической поддержки.

Любой банк может запросить бесплатное тестирование решения на несколько месяцев.

Пример «живого» общения и доп. информация на www.fraudinform.ru.


Г. УФА, РФ

А что если мошенническиеплатежи созданы в АБС?

Сценарий диалога может быть изменен по желанию банка. Возможно использование кодовых фраз или биометрической аутентификации клиента по голосу.

VOICENAVIGATOR – разработка наших партнеров компании «ЦРТ»

Г. КАЗАНЬ20 октября 2016#CODEIB

Спасибо за внимание!

EMAILТЕЛЕФОН

[email protected]+7 495 967-65-19

ООО «ФРОДЕКС»Г. УФА, РФ

Доп. информация по данному решению может быть предоставлена банкам по запросу на [email protected]. WEBSITE www.frodex.ru

Фродекс. Руслан Фахретдинов. "Проблемы безопасности АРМ КБР. Решение и опыт внедрения"

Software