Прочитали: 11049 Коментарів: 135 Рейтинг: 328

Постійні читачі випусків проекту «Антивірусна правДА!» Напевно вже звернули увагу, що основні поради, які ми даємо і які повинні забезпечити захист від шкідливих програм, не так вже й складні:

• підтримувати актуальність антивіруса;
• не функціонувати підвищеними правами;
• встановлювати оновлення безпеки;
• не клікати по всіх посиланнях поспіль;
• робити резервні копії важливих даних.

Нічого особливо секретного, все очевидно і логічно. Чому ж тоді ЗМІ рясніють новинами про зломи, витоках? Одне з двох: або наші поради не працюють, оскільки хакери з легкістю їх обходять, або вони не забезпечують захист, а за високий рівень безпеки потрібно доплатити.

А ще є варіант обходу захисту за допомогою інсайдера:

Але зазвичай все куди простіше ...

Початкове зараження відбулося через те, що антивірус на робочої станції співробітника, що запустив ВПО з фішингових листа, що містить documents.exe, був відключений або використовував застарілі антивірусні бази.

Необхідно відзначити, що антивірусне ПЗ виявляло як вихідні шкідливі вкладення, так і активність зловмисників після компрометації - задовго до того, як сталася крадіжка коштів. У числі іншого виявлялася сайтів із підозрілою активністю легітимного ПО Ammyy Admin. У деяких випадках зараження було попереджено антивірусом.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

documents.exe, Карл! Кому прийде в голову спробувати запустити такі файли ?!

При цьому антивірусу це шкідливе ПЗ давно було відомо, але його просто відключили! Там, де він був включений - просто включений, про детектив за допомогою різних поведінкових аналізаторів навіть не було й мови - зараження не пройшло.

Але далі ще веселіше:

Розслідування показало, що запуск файлу з фішингових листів в різний час здійснили кілька співробітників.

Тобто ніяких обмежень на запуск і роботу забороненого в банку ПО не існувало!

Для пошуку і завантаження різних утиліт (наприклад, Mimikatz), зловмисники використовували легітимні ресурси, зокрема поширені пошукові системи, прямо зі скомпрометованих вузлів.

Мало того, що комп'ютери співробітників не були ізольовані від Інтернету, так банк ще й попався на вудку зловмисників, які прямо в ході атаки безпосередньо з заражених машин шукали потрібні їм утиліти для продовження диверсії. Злісні хакери, які працюють в командному рядку не дивлячись на монітор і сприймають відповіді виключно на слух ... Та, не дивно, що захист впала перед ними!

Ключовими факторами, які сприяли швидкому розвитку вектора атаки на інші ресурси локальної мережі, стали відсутність сегментації мережі і надлишкові привілеї облікового запису (атакований користувач був локальним адміністратором на всіх робочих станціях в локальній мережі). Це дозволило зловмисникам легко розвивати атаку, адже їм не довелося використовувати додаткові експлойти для підвищення привілеїв, а також шукати шляхи проникнення в сегмент управління.

Для завантаження файлів застосовувався загальнодоступний ресурс для обміну файлами sendspace.com.

Аналіз журналів системи захисту підтвердив переміщення в мережі зі скомпрометованих комп'ютерів, в тому числі підтвердилися факти підключень до банкоматів за допомогою RAdmin. В інфраструктурі атакованого банку це ПО активно використовується адміністраторами для віддаленого управління, серед іншого, і банкоматами.

Мережа банкомату не була відділена від основної локальної мережі і, мабуть, від Інтернету теж, а фахівці з ІБ навіть не помітили, що в банк ломляться невідомі.

До речі, якщо ви використовуєте Dr.Web, то старт RAdmin (або іншого засобу віддаленого управління) викликає попередження про запуск потенційно небезпечної програми.

• Були скомпрометовані робочі станції ключових співробітників, критично важливі сервери, в тому числі термінальний сервер і контролер домену. Крім того, зловмисники отримали паролі практично всіх користувачів компанії, включаючи облікові записи адміністраторів, що дозволило безперешкодно переміщатися всередині мережі.
• За одну ніч з 6 банкоматів банку були викрадені грошові кошти в розмірі, еквівалентному 2 213 056 російських рублів в місцевій валюті.
• Щоб отримати готівку з банкоматів, використовувалися підставні особи (дроп). Один з таких дропов, громадянин Молдови, був затриманий на місці злочину правоохоронними органами при виїмці банкнот.