Фишинг и трояны

Fishing

Механизм действия. Цель атаки. Степень угрозы. Способы защиты.

Фишинг (рыбалка) – способ поиска клиентов для совершения мошенничества, при котором клиенты сами ловятся на наживку. Часто используется для установки на компьютер клиента специальной программы «трояна» (об этом чуть ниже). Многие думают, что на фишинг ловятся только дураки. Это не так. Всё зависит от качества наживки. Например, если бухгалтеру на электронную почту придет письмо от налоговой инспекции с важной информацией во вложенном файле, он скорее всего откроет этот файл. На каждого человека есть своя работающая наживка.

Часто кроме электронной почты используются веб-сайты, которые люди сами ищут в поисковых системах. Обычно люди ищут информацию о туристических услугах, фильмы, музыку, игры, секс. Злодеи размещают в Интернет сайты, которые кроме искомого контента содержат маленькие программки-скрипты, называемые «загрузчики троянов». Они выполняются браузером и сами понимаете, что делают. Впрочем, такой фишинг применяется обычно против частных лиц, а не против компаний. Но сотрудники вашей компании всегда найдут способ заняться личными делами на рабочем месте. Что такое трояны и зачем столько усилий ради них.

Троян – это вполне безвредная сама по себе программка, целью которой является установка соединения с внешним компьютером. Зачем? Дело в том, что полезные ресурсы корпоративной локальной сети всегда защищены от Интернет каким-нибудь файрволом. Не важно какой у вас файрвол и насколько правильно он настроен. Принцип его работы всегда сводится к тому, чтобы не допустить соединения между внешним и внутренним компьютерами, если инициатива соединения исходит снаружи. Наоборот, файрвол разрешает соединение, если инициатива исходит изнутри. Иначе вы не сможете использовать Интернет. А это самое страшное, что может случиться с человеком, не важно, дома или на работе. Обычно разрешены коммуникации как минимум по трем протоколам: http, https, dns. Последний чисто технический, но без него вообще ничего не работает. Все три протокола могут использоваться для коммуникаций между трояном и компьютером злодея.

Таким образом, троян предназначен для того, чтобы открыть ворота для настоящих вредителей. Все производители антивирусных программ утверждают, что их решения эффективно блокируют и уничтожают троянов. Это не правда, то есть, не совсем правда, то есть, они немного привирают. Об этом подробнее в разделе «степень угрозы». Пока лишь заметим, что фишинг является 100% эффективным способом проникновения, если вся ваша защита это файрвол и антивирус.

Что происходит после того, как ваш сотрудник проглотил трояна? Прежде всего злодею нужно осмотреться на месте, чтобы понять куда он попал, а еще нужно «повысить привилегии». Дело в том, что троян будет использовать полномочия в системе того человека, который его запустил. Это называется «контекст безопасности». Если все ваши сотрудники «для удобства» работают на своих компьютерах с полномочиями администратора системы, то это халява для злодея. Если нет, ему придется повозиться. Поискать уязвимости в системе, которые можно использовать для «повышения привилегий», найти или написать самому специальную программку «exploit» для того, чтобы воспользоваться найденной уязвимостью.

Чтобы осмотреться на месте, злодею обычно достаточно посмотреть какие программы установлены на компьютере и какие документы «валяются» на диске. Или можно установить специальную программу, которая будет каждые 15 секунд отправлять злодею копию экрана с компьютера клиента. Такие программы существуют, в том числе, «хорошие». Их используют для контроля поведения сотрудников. Даже они сделаны так, что обычный человек не обнаружит их на своем компьютере. Надо знать, что и где искать.

Если компьютер не интересный, можно перебраться на соседний. Дело в том, что в локальной сети компьютеры обычно не изолируются друг от друга и здесь используется очень много разных полезных протоколов коммуникаций, которые можно применить для распространения заразы.

Цель атаки. Во-первых, деньги, затем ресурсы, которыми можно воспользоваться бесплатно, затем информация, которую можно продать, затем возможный шантаж. Рассмотрим по порядку.

Деньги. Деньги можно украсть забравшись на компьютер, на котором установлена система клиент-банк. При этом «неуязвимость» собственно системы клиент-банк не имеет значения. Предполагается, что все операции будут выглядеть вполне легально.

Начать можно с того, что с помощью программы перехватчика клавиатуры собрать необходимые пароли и пин-коды к смарт-картам или USB-токенам, которые используются для подтверждения полномочий и простановки цифровой подписи на платежных документах. Затем, залить на компьютер клиента какое-нибудь средство удаленного управления рабочим столом. Такие штуки используют айтишники, чтобы не бегать по рабочим местам по каждой жалобе сотрудника компании. Они перенаправляют на компьютер вывод чужого экрана и наоборот подключают клавиатуру и мышку к чужому компьютеру. Троян обеспечит надежный канал связи между компьютером бухгалтера и компьютером злодея.

Дальше ждем, когда бухгалтер зайдет в программу клиент-банк и вставит в компьютер свой токен или смарт-карту. Теперь управление компьютером бухгалтера можно перехватить. Для бухгалтера всё будет выглядеть так, будто компьютер внезапно завис и ни на что не реагирует. Некоторое время он будет чертыхаться. Затем, созваниваться с айтишником. За это время злодей отправит в банк парочку платежек. Затем, сделает какую-нибудь гадость, например, повредит загрузчик операционной системы, чтобы все выглядело, как поломка компьютера. Придет айтишник, попробует перезагрузить компьютер. Ничего не получится. Он начнет восстанавливать систему. О том, что случилась беда вы узнаете на следующий день. Деньги будут уже переведены и распиханы по карманам.

Это не фрагмент отчета международной аудиторской компании. Это реальная жизнь с которой я знаком лично. Много не крадут. Некоторые банки отслеживают подозрительные операции, не соответствующие обычному поведению клиента. Если будет необычно большая сумма, могут позвонить бухгалтеру и спросить уверен ли он в правильности платежа. Ну, так, миллиона полтора в одной платежке скорее всего прокатит.

Ресурсы. Что значит бесплатно воспользоваться ресурсом? Например, у вас в компании установлена офисная АТС, и вы арендуете у провайдера несколько номеров. Предположим, что провайдер не блокирует международные вызовы на этих номерах. Может вы забыли включить этот пункт в договор, может вам по бизнесу нужна международная связь. Можно попользоваться вашей АТС без спросу? Если это современная надежная и недорогая IP-ATC, конечно можно. Добро пожаловать! Дело в том, что для подключения к такой АТС не обязательно быть телефоном. Можно быть специальной программкой софтфоном, запущенной на обычном компьютере. Злодей может использовать трояна в качестве посредника для коммуникаций между своим софтфоном и вашей офисной IP-АТС. Поскольку международные вызовы используются не только для звонков маме, но и для всяких «казино по телефону», счет может составить около 300 тысяч рублей за одну ночь.

Кража информации. Обычно не самая опасная вещь. Во-первых, в процессе кражи информация не исчезает, а копируется, то есть видимый материальный ущерб отсутствует. Во-вторых, это не очень ликвидная штука. Возможно вы обладаете важной коммерческой тайной, но кто ее купит? Великий Дайсон ни фига не смог продать свою революционную конструкцию пылесоса ни одному производителю. Пришлось создать собственную компанию. Но есть и преимущество в том, что ущерб не виден явно. Деньги можно украсть один раз, и этот факт сразу обнаружится. Будут приняты какие-то меры, чтобы кража не повторилась. Информацию можно незаметно красть годами. Бывает и ликвидная информация. Например, в 90-е годы, в эпоху расцвета платных порно-сайтов в Интернет, был бизнес по продаже паролей доступа к этим сайтам. В наше время ликвидной является информация о держателях пластиковых карт. Выгрузки из соответствующих баз данных можно продать легко, правда не дорого. Пользуются спросом свежие списки контактных данных клиентов банков, как с одобренными кредитами, так и с отказами. Это можно продать кредитным брокерам. Скорее не продать, а отдать на консигнацию, но тоже копеечка в копилочку.

Шантаж. Злодей может обнаружить у вас очень ценные для вашего бизнеса данные и уничтожить их. Но зачем сразу уничтожать? Можно, например, сначала их зашифровать, а потом позвонить и объяснить, что программу для дешифровки и ключ шифрования можно получить за некую сумму, отправленную на какой-нибудь Яндекс-кошелек, а если деньги не поступят, данные будут уничтожены. Что за ценные данные? Ну, например, архив проектов в каком-нибудь CADе в архитектурном бюро. Или исходные коды новой версии программного продукта, который ваша компания делает специально для крупного заказчика. Всё, что нажито непосильным трудом, и что вы забыли архивировать на ленту и спрятать ленту в сейф.

Недавно случился очень большой конфуз с молодой компанией CodeSpace. Они предлагали облачный сервис для разработчиков программного обеспечения. Инструментарий разработки и хранение кода. Компания подверглась атаке злодея шантажиста. Они повели себя слишком самоуверенно и пытались в процессе переговоров с шантажистом вычислить и ликвидировать последствия его «проникновения». В результате злодей уничтожил их критичные данные, точнее данные их клиентов. Компания прекратила свое существование. Бывает и так.

Степень угрозы. Насколько часто применяется фишинг и трояны? Не буду говорить о статистике в мировом масштабе. Скажу о том, что знаю лично. В одной крупной компании ведется постоянный мониторинг фишинговых атак. Существенной угрозой считается получение фишинговых писем с троянами «нулевого дня», то есть такими, которые не обнаруживаются средствами антивирусной защиты, никакими. Бывают дни, когда таких писем нет. Но это очень редкие дни. Как правило каждые сутки фиксируется один-два свежих трояна. Вообще, по моему мнению, фишинг с троянами это самый эффективный и самый распространенный способ проникновения в корпоративные сети, к сожалению, не единственный. Обычно фишинг не является направленной атакой именно на вас. Скорее это ловля рыбы во всем океане. Поэтому, даже если вы съели трояна, не обязательно вас вытащат из воды. Возможно у рыбака есть рыба пожирнее. Но худоба не очень надежный метод защиты.

Способы защиты. Трояны — это не какая-то ошибочная уязвимость операционной системы Windows или Linux, это конструктивная особенность всех современных операционных систем. Не верите найдите в гугле и почитайте «A Guide to Understanding Discretionary Access Control in Trusted Systems». И от этой напасти теоретически гарантировано защититься нельзя средствами самой операционной системы или с помощью программы, запущенной в этой операционной системе. Но, кроме теоретически гарантированной, бывает еще практическая защита.

Защищаться можно двумя способами, лучше вместе: контроль целостности программной среды и контроль потоков информации.

Контроль целостности программной среды штука хорошая, но создает массу жизненных неудобств. Существуют программные и программно-аппаратные средства. Последние надежнее, но ужасно неудобны в «живой среде». В чем собственно проблема? Такие средства «сканируют и фиксируют» все программные файлы на компьютере, а также файлы конфигурации и системный реестр, после чего блокируют любые попытки что-нибудь изменить или добавить. Это создает проблемы при установке новых программ или обновлении версий, уже имеющихся. При чем, программные средства контроля обычно имеют некую центральную консоль с которой можно удаленно разрешить обновление системы на любом компьютере, а затем зафиксировать новое состояние. С программно-аппаратными средствами дело дрянь. Нужно все делать руками на каждом компьютере. Короче, если вам придет в голову идея поставить программно-аппаратные средства контроля целостности системы на всех компьютерах в офисе, то через некоторое время ваши сотрудники перестанут пользоваться рабочими компьютерами и принесут из дома свои.

Что касается цен, то импортные программные штучки стоят в диапазоне 150-400 долларов за компьютер (цена зависит от количества приобретаемых лицензий, больше лицензий – меньше цена за единицу), отечественный программно-аппаратный «Соболь» стоит около 9 000 рублей за штуку.

Чтобы не создавать себе жизненных проблем, вместо режима «блокировки» несанкционированных изменений, можно использовать режим мониторинга изменений. То есть пусть себе изменения происходят, главное, чтобы они регистрировались и некоему специальному человеку отправлялся журнал этих изменений. Этот специальный человек, анализируя журнал, сможет понять, какие изменения нормальные, а какие нет, и таким образом обнаружить «вторжение» до того, как наступит вред. В то же время нормальная работа людей не будет прерываться по «ложным» поводам.

Я всем рекомендую использовать средства контроля целостности программной среды, по меньшей мере, на компьютерах, с которых вы управляете своим счетом в банке. Деньги будут целее. Кстати, для некоторых систем, использование вышеупомянутых средств является обязательным. Например, если вы храните и обрабатываете данные пластиковых карт Visa или MasterCard, это обязательное требование (стандарт PCI DSS).

Еще добавлю, что в операционной системе Windows есть собственные встроенные средства, как блокировки запуска «неизвестных» программ (Software Restriction Policy), так и мониторинга изменения файлов, но их нужно немножко уметь настраивать. Ничего особо сложного, но рекомендуется понимать, что делаешь, чтобы дров не наломать. Здесь нет готовых шаблонов, как в коммерческих средствах. И эта настройка может быть утомительной процедурой

Контроль информационных потоков хорош тем, что у вас есть обычно одна точка контроля на всю сеть, это ваш файрвол. Суть дела в том, чтобы анализировать содержимое информационных пакетов, передаваемых между Интернет и локальной сетью, выявлять подозрительные и таким образом обнаруживать активность трояна и компьютер с которого он пытается соединяться со злодеем. Современные файрволы имеют необходимые средства, как для автоматического, так и для человеческого анализа потоков. Но опять же требуют некоторых знаний в области того, что нужно искать. Стоимость хорошего файрвола с системой предотвращения вторжений в диапазоне 500 – 1000 американских долларов.

И главное, какие бы средства защиты информации вы не внедрили, за ними обязательно нужно следить глазом. Это то же самое, что супер секретный замок на даче. Сколько бы он ни стоил, если вас там нет целый год, вы не можете быть уверенным в том, что веселые бомжи там не поселились. Следить не значит целый день пялиться в монитор. Обычно достаточно пятиминутного взгляда на консоль два раза в сутки, плюс уведомление (alert), присылаемое системой по электронной почте об особо важных событиях. И очень важно соблюдать регулярность. Я рекомендую установить за правило, что у вас каждый день должен быть отчет о том сколько зафиксировано подозрительных событий, сколько из них являются угрожающими и в чем угроза, какие меры приняты для нейтрализации угроз.

Заключение.

Выше я написал, что считаю фишинг и троянов самым эффективным способом проникновения в корпоративную сеть. Но есть и другие. Если вы затруднили этот путь, злодей будет пытаться использовать другие. Однако практически все другие способы применяются только при целенаправленной атаке именно на вас. Если вы не представляете для кого-то особенного интереса, практически невероятно, что к вам будут лезть специально и упорно.

Реклама

Фишинг и трояны: 2 комментария

  1. Уведомление: Защита информации в SMB. Внешнее проникновение. | ESGUARDIAN

  2. Уведомление: Мониторинг ИБ. История одного пакета. | ESGUARDIAN

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s