Новости малвари

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Новости малвари

<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7 8 ... 11 12 13 14 15 16
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
в продолжение предыдущего поста (из SANS NewsBites)

[q]

[Editor's Note (Pesactore): If you look at Microsoft's Malicious Software Removal Tool statistics, about 1 out of 3 small business and home PCs (the ones that run Auto Update) have botnet payloads on them.
Most enterprises find between 3 and 10% of their PCs also have been compromised by botnet malware. A lot of those payloads interfere with security functions, for obvious reasons.]

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.computerworld.com/s/article/9158778/Kneber_botnet_hit_374_U.S._firms_gov_t_agencies?source=CTWNLE_nlt_pm_2010-02-18

[q]

February 18, 2010 (Computerworld) Of the nearly 2,500 companies worldwide that have been affected by the Kneber botnet, 374 of them are U.S.-based organizations, according to NetWitness Corp., the company that uncovered the botnet attack last month.

The list of compromised entities in the U.S includes Fortune 500 companies, local, state and federal government agencies, energy companies, ISPs and educational institutions. A total of nearly 75,000 computers worldwide are believed to have been compromised by the botnet, according to NetWitness.

A 75GB cache of stolen data shows that the botnet, which is a variant of Zeus, has been used to steal a wide range of information, including tens of thousands of login credentials — mainly for financial accounts. The recovered data appears to be one month's worth of information from the botnet's command-and-control servers NetWitness said.

In addition to banking information, the Kneber bot also appears to be designed to harvest other kinds of information, suggesting that Zeus is being put to broader uses than just stealing banking credentials.

NetWitness has so far refused to identify the companies whose machines have been compromised in the worldwide attack. But the Wall Street Journal listed Merck & Co., Cardinal Health Inc., Paramount Pictures and Juniper Networks Inc. as four companies that had been affected.

Alex Cox, the principal analyst at NetWitness who discovered the Kneber bot, said today that not all of the companies affected by it were victims of a targeted attack. In some cases, enterprise systems were compromised as a result of drive-by downloads; in other cases, companies appear to have been targeted by spear-phishing campaigns designed to get individuals to open e-mails with malicious links and attachments.

That suggests that the botnet is being used by multiple groups with different objectives in mind, Cox said.

The data uncovered by NetWitness involved Kneber botnet activity between December 2009 and last month and shows that, in many cases, systems were compromised via a since-patched vulnerability affecting Adobe's PDF reader, Cox said.

Cox also noted that the Kneber botnet appears to have been designed to be more resilient to takedown attempts. More than half the machines infected with Kneber are also infected with a peer-to-peer bot called Waledac. While it is not unusual for compromised systems to have multiple strains of malware, in this case the Kneber bot appears to be actively logging Waledac activity and actually downloading Waledac to machines it has infected, Cox said.

"Either the Zeus guys are the same guys that are running Waledac, or there is some inter-gang cooperation going on," he said.

The effort to have two different bots, each with its own command-and-control infrastructure, running on one system is significant, Cox said. "If I take down the command-and-control structure of Zeus, Waledac is still running so I can use it to push Zeus back" onto infected systems, he said. "At the very least, two separate botnet families with different [command-and-control] structures can provide fault tolerance and recoverability in the event that one mechanism is taken down by security efforts," Cox said in a report detailing the Kneber botnet.

An analysis of IP addresses, domains and registration information shows that the servers being used to serve up Kneber-related malware are globally dispersed, Cox said. While many of the servers appear to be based in China, some are located in the Ukraine, Korea, Panama and the U.S.

Meanwhile, the registration information for the domain from which NetWitness recovered the stolen data cache includes an e-mail address that is associated with money-mule recruitment activity. The registrant contact is listed as having a street address in Virginia.

Money mules are people who are used (often without their knowledge) by cybercriminals to accept and launder stolen money.

Jaikumar Vijayan covers data security and privacy issues, financial services security and e-voting for Computerworld. Follow Jaikumar on Twitter at @jaivijayan or subscribe to Jaikumar's RSS feed . His e-mail address is jvijayan@computerworld.com.

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/391222.php

[q]

Pinch – одна из легендарных вредоносных программ Рунета. С середины 2003 года этот троянец доставляет регулярные проблемы антивирусным компаниям. Его исходные коды модифицировали и правили многие начинающие злоумышленники, а базы паролей, украденные с его помощью, постоянно появлялись на черном рынке. Не удивительно, что именно этот троянец «всплыл» в одном из прошедших инцидентов, связанных с фотохостингом компании Google.

В процессе слежения за сайтами, используемыми злоумышленниками для взлома и распространения вредоносных программ, специалисты ЛК наткнулись на множество ресурсов, зараженных одинаковыми по коду скриптами. В начале заглавной страницы каждого такого сайта находится специальный зашифрованный скрипт. Анализируя браузер и набор дополнений к нему, скрипт формирует специальный запрос к серверу злоумышленника для выбора уязвимости, которая будет использоваться для проникновения на компьютер посетителя зараженного сайта.

На момент исследования злоумышленники использовали уязвимости только в браузерах Internet Explorer 6, 7 и QuickTime.
Цель этого кода – обращение к фотохостингу компании Google и загрузка специально сформированной картинки:

После успешной загрузки данной картинки код расшифровывает специально сформированный «довесок» к ней, который оказалтся троянцем Trojan-Dropper.Win32.Dropirin.ah. При этом в коде картинки по циклически повторяющейся последовательности байт, не характерных для данных формата GIF, хорошо видно расположение данного троянца.

После расшифровки и запуска троянца-дроппера, на компьютере жертвы устанавливается программа Backdoor.Win32.WinUOJ.pz, предназначенная, в том числе, для скрытой загрузки и установки других вредоносных программ. Работа бота с командным центром ведется с использование шифрования, при этом сами центры регулярно меняются и находятся в различных регионах мира – в США, Сингапуре, Москве и т.д.

Одной из особенностей данного бота является загрузка дополнительных вредоносных программ, упакованных аналогичными способами в те же GIF-картинки.

Одной из вредоносных программ, установленной злоумышленниками на строящийся ботнет, стала программа Trojan-PSW.Win32.LdPinch, обладающая накопленными за свою почти семилетнюю историю развития и разработки обширными возможностями для кражи конфиденциальной информации с зараженного компьютера.
Итого:

Использование GIF-файлов для заражения пользователей и передачи данных в строящемся ботнете является одной из самых находчивых вредоносных техник за последнее время. При наблюдении за сетевым трафиком компьютера процесс заражения и работы вредоносной программ невозможно определить стандартными средствами, так как со стороны это выглядит как загрузка обычных картинок при посещении обычного сайта. Формат GIF-файла и отсутствие каких-либо специальных проверок на фотохостингах дают злоумышленникам прекрасные возможности: экономить на покупке или аренде обычно выделенных серверов и практически анонимно строить/обновлять свои ботнеты. В этих условиях проблему можно решить, например, использованием техники перекодирования пользовательских картинок, аналогично тому, как это происходит с видеороликами на том же youtube.com.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://www.securitylab.ru/news/391238.php
[q]

Яндекс запустил собственную антивирусную технологию, основанную на поведенческом анализе. Она умеет обнаруживать сайты с самыми новыми вирусами и предупреждать об опасности пользователей поиска.

Впервые Яндекс начал проверять веб-страницы в мае 2009 года — с помощью антивируса компании Sophos®. Каждый день предупреждение о вирусах появляется в результатах поиска Яндекса около 3 миллионов раз. Всего Яндексу известно около 400 тысяч заражённых страниц.

Антивирусный комплекс Яндекса отличается от уже используемой технологии компании Sophos и построен на поведенческом подходе. Имитируя поведение пользователя, антивирус заходит на сайт и анализирует, что происходит в системе. Если без каких-либо дополнительных действий со стороны пользователя начинает скачиваться или исполняться какая-то программа, скорее всего, страница заражена. Такой метод позволяет обнаруживать вирусы, еще не попавшие в антивирусные базы. Только за 5 дней работы нового антивируса в тестовом режиме количество обнаруженных заражённых сайтов увеличилось на 9%. Благодаря различию в технологиях, антивирусы Яндекса и Sophos находят разные вирусы — пересечение составляет около 34%. Обе технологии работают параллельно, обеспечивая пользователям более надёжную защиту.

«Наша технология позволяет обнаруживать новые, только появившиеся в интернете вредоносные программы и вовремя предупреждать пользователей об опасных сайтах, — говорит руководитель проекта Сергей Певцов. — Кроме того, мы готовы делиться информацией с антивирусными компаниями, чтобы они могли вносить новые вирусы в свои базы».

Веб-мастера могут следить за состоянием своих сайтов с помощью сервиса Яндекс.Вебмастер . В случае обнаружения на сайте зараженных страниц Яндекс пришлёт уведомление, чтобы веб-мастер мог найти и удалить вредоносный код.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

из SANS NewsBytes

[q]

--Confidential Bank Reports to FDIC Show $120 Million Lost In Three
Months To Online Banking Fraud
(March 8, 2010)
FDIC Examiner Dave Nelson reported March 5 that malware on customer computers cost banks more than $40 million each month during the last full quarter for which he had data, July-September, 2009. The FDIC receives confidential reports from financial institutions, from which Nelson's estimates were generated. The hackers trick people into opening weaponized emails or into visiting web sites where their systems are infected. Nelson said business accounts do not receive the reimbursement protection that consumer accounts have, so a lot of small businesses and nonprofits have suffered some relatively large losses --
$25 million in the 3rd quarter of 2009. Hackers target small businesses where the security controls are weak.
www.computerworld.com/s/article/9167598/FDIC_Hackers_took_more_than_120M_in_three_months?source=rss_news
www.krebsonsecurity.com/2010/03/cyber-crooks-leave-bank-robbers-in-the-dust/
[Editors Note (Pescatore): Let's put this in context: according to NACHA, in 3Q09 3.77 billion transactions representing $7.3 *trillion* dollars was processed by the Automated Clearing House electronic fund transfers. That $120M in fraud represents less than .00001% of the overall volume, essentially within rounding error.
(Paller): John Pescatore's note above almost had me persuaded cyber bank fraud wasn't worth fixing. Then I started calculating the number of deaths in automobile accidents as a fraction of all automobile trips. A similar calculation to John's would suggest the nation wasted its time and resources forcing auto manufacturers to build cars with seat belts and air bags and better bumpers. That was not a waste of resources. It is time the ISPs and financial institutions took responsibility protecting their customers - the customers cannot do it themselves.
Brian Krebs showed how bad the damage from these attacks can be.
www.krebsonsecurity.com/2010/02/n-y-firm-faces-bankruptcy-from-164000-e-banking-loss/]

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.nxtbook.com/nxtbooks/energycentral/energybiz0310/index.php?startid=47#/48

[q]

in recent months at Least 31 chief executives of major utilities involved in generation, transmission and distribution, have attended closed briefings by senior officials of the Federal bureau of investigation.
There they learned of forensic evidence proving that cyber attackers had penetrated numerous U.S. utility networks and systems, set up connections to outside controllers, and hidden their presence so
deeply that no commercial security tools can find them.
The problem has become so widespread that the executives were told that, for the foreseeable future, they needed to treat their systems and networks as contested territory, meaning that they could
not be sure information stored in those systems or flowing through those networks was completely under their control.
The CeOs were also told that the attacks used “the same techniques as those used by nation states in attacks on the defense industrial base and federal government systems.” electric utilities are not alone.
The current wave of attacks uses weaponized e-mails. The recipient — a CeO, a control system manager or another highly valued target — receives an e-mail that appears to come from someone with
whom the target is actively engaged in e-mail communication.
it is so well crafted that even extraordinarily paranoid users generally trust it enough to open it and open any attachments.
it contains an attachment that exploits one of three primary types of vulnerable software to gain a foothold on the targeted person’s computer.
The infected computer is forced to contact a controller using a Web request that cannot be distinguished from any other user’s Web traffic.
The controller downloads other programs that steal passwords, to other systems on the network, steal and send back key information, establish a back door for later access, and burrow so deeply
they cannot be discovered. The principal defenses against this type of attack were not being implemented until the CeOs learned that their shareholders would see any further delay as negligence.
Common defenses include a way to block the attacker from gaining a foothold in the first place, another that stops the attacker from jumping beyond the first system, a third that enables the utility
to gain visibility into the attacker’s behavior and a fourth that provides immediate response capability.
Sadly, none is a silver bullet, all work well, but none works perfectly. experience with implementing these defenses, and the pioneers’ lessons learned, will be shared in a workshop being planned jointly by the U.S. Department of Homeland Security, the north american energy Reliability Corporation and the SanS institute.
The Fbi will also be joining the workshop, which will take place in Florida March 27 to april 1. The term advanced persistent threat is used primarily by military leaders and defense contractors
when they do not want to name the countries that have been identified as the likely attackers — primarily China and Russia.
in all, more than 100 countries’ spy agencies have cyber attack capabilities. Countries will spend unlimited amounts of money in using cyber methods to gain military advantage, and there is no more
desirable military target than active control of an adversary’s ability to generate and transmit power.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/392257.php

[q]

Эксперты по безопасности сообщили об обнаружении первого образца вредоносного программного обеспечения, модифицирующего системы обновления легитимных программных продуктов.

Данное направление развития вредоносных кодов является новым и представляет дополнительную опасность для пользователей. Вредоносный код, инфицирующий Windows-компьютеры, маскируется под систему обновления Adobe Systems или системы обновления виртуальных машин Java.

Образец такого кода был обнаружен вьетнамскими специалистами из компании Bach Khoa Internetwork Security (BKIS). Специалисты BKIS представили образцы программ, полностью имитирующие Adobe Reader 9 Updater. Код переписывает файлы AdobeUpdater.exe, которые регулярно проверяют обновления для продуктов Adobe. Новый код способен полностью незаметно от пользователя загружать другие вредоносные программы для управления компьютером.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/392838.php

[q]

Благодаря развитию Интернета, онлайн-платежи сегодня совсем не редкость. Однако при всем удобстве такой способ расчетов таит в себе серьезную опасность — похитить денежные средства в Сети порой не сложнее, чем украсть кошелек из открытой сумки. Персональные данные пользователя, необходимые для авторизации в платежных системах, злоумышленники могут раздобыть с помощью троянских программ, коих сегодня в глобальной сети огромное множество. На сегодняшний день одним из них является ZeuS.

ZeuS создан для кражи данных, необходимых пользователю для авторизации в платежных системах. Благодаря простоте конфигурации, этот зловред в одних только Соединенных Штатах заразил 3,6 миллиона компьютеров. Общемировая же статистика фактически не поддается исчислению. И это не удивительно.

Логин, пароль или сертификат соответствия легко становятся доступны троянцу: при посещении пользователем веб-страниц онлайн-банкинга или платежных систем ZeuS отслеживает ввод информации с клавиатуры, после чего отправляет ее злоумышленнику.

Однако наиболее интересный способ кражи персональных данных, реализованный в Zeus, выглядит иначе — при открытии сайта, адрес которого присутствует в файлах конфигурации ZeuS, троян меняет код страницы до того, как она появляется в браузере. Как правило, зловред добавляет новые поля для ввода секретных данных (таких как, PIN-код), которые после ввода пользователем пересылаются злоумышленнику.

Эксперты "Лаборатории Касперского" проанализировали, на какие именно сайты нацелен ZeuS. В странах Запада под прицел злоумышленников попадают в основном клиенты банков. В России, где очень популярна такая услуга, как интернет-кошелек, опасность в первую очередь грозит пользователям платежных сервисов – QIWI, Яндекс.Деньги и WebMoney.

Чем популярнее платежная система, тем больше она интересует злоумышленников. В России установлено свыше 100 тысяч точек приема платежей QIWI. В 2008 году оборот сумм, проходящих через эту систему, составил 7,2 млрд долларов США. Соответственно, адрес QIWI встречается в большинстве файлов конфигурации ZeuS.

Еще два очень популярных в России сервиса, упомянутых выше, – это Яндекс.Деньги и WebMoney. У этих сервисов нет своих терминалов, как у QIWI и W1, зато их платежи принимает гораздо больше сайтов.

Интернет-банкинг пока не получил в России широкого распространения. Только Альфа-Банк, Citibank и Промсвязьбанк преуспели в привлечении своих клиентов к активному использованию этой услуги. Этим и обусловлено появление адресов этих банков во многих файлах конфигурации ZeuS.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securelist.com/ru/analysis/208050632/CrimeWare_novyy_vitok_protivostoyaniya

[q]

В последнее время мы все чаще и чаще слышим об успешных атаках злоумышленников на пользователей финансовых организаций. Чаще всего при атаках с применением вредоносных программ используется следующая последовательность действий: поиск жертв и их инфицирование, получение доступа или параметров для доступа к онлайн-банкингу, вывод средств.

Громкий пример последнего времени связан с семейством ZBot-toolkit (также данное семейство известно под именем ZeuS).

Этот вредоносный инструмент, специализирующийся на краже учетных записей пользователей для доступа к онлайн-банкингу, оставался активен на протяжении всего 2009 года и продолжает оставаться в настоящее время, словно насмехаясь над IT-специалистами, пытающимися закрыть бот-сеть ZeuS. По данным центра ZeuS Tracker на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем 20-50 тысячами зараженных компьютеров (зная эти цифры, легко можно подсчитать количество жертв).
Подобное географическое распределение позволяет обеспечить высокую живучесть бот-сети. Как показала недавняя практика, бот-сеть не выведешь из строя простым закрытием нескольких хостингов: начиная с 9 марта, Роман Хюссе, наблюдающий за бот-сетью с помощью ZeuS Tracker, отметил резкое уменьшение числа центров управления и связал это с отключением интернет-провайдера Troyak. К 11 марта число центров управления сократилось до 104. Однако спустя еще пару дней Troyak нашел нового телеоператора, и 13 марта число управляющих центров опять превысило 700 — радость, к сожалению, оказалась преждевременной.

И это далеко не единственный toolkit, направленный на кражу данных для доступа к финансовым средствам пользователей. Чего стоит toolkit Spy Eye, который не только занимается кражей данных, но и уничтожает своего конкурента ZBot/Zeus – что ж, виртуальные войны в действии.

Не менее известной стала бот-сеть Mariposa, включающая в себя 13 миллионов компьютеров по всему миру и ликвидированная испанской полицией в декабре 2009 года.

Пользователи зараженных компьютеров, входящих в состав всех этих бот-сетей, представляются злоумышленникам простыми денежными мешками — именно такими символами отображались зараженные компьютеры в панели управления бот-сети Spy Eye.

Все это «бот-хозяйство», о котором речь шла выше, является рассадником финансовых зловредов. С помощью таких вредоносных программ киберкриминал наживается, воруя денежные средства пользователей и постоянно находя новые жертвы. Цифры наглядно демонстрируют рост числа вредоносных программ в последние годы — тех программ, которые занимаются кражей данных клиентов банков и других финансовых компаний пользователей

Приведенные цифры показывают экспоненциальный поквартальный рост банковских зловредов с момента их первого появления до настоящего времени. Ситуацию усугубляет тот факт, что немалый процент из них на момент появления не детектируется антивирусными продуктами большинства производителей. Например, по данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «жатву».

Почему так происходит? Для наглядности рассмотрим, как организован процесс выпуска «лекарства» с использованием обычных антивирусных баз. Сам процесс может незначительно отличаться у разных антивирусных производителей, но в целом он именно такой

Рассмотрим эту схему:

* step 1. С началом распространения злоумышленником вредоносного файла первоочередной задачей антивирусной компании является выявление и получение образца (сампла) этой вредоносной программы. Данная цель может достигаться различными способами: файл будет прислан пострадавшим, получен системами автоматического перехвата или сбора вредоносных образцов или в результате обмена файлами с партнерами и т.д. Однако, учитывая особенности распространения зловредов, несмотря на большое число каналов для получения самплов далеко не всегда есть возможность получить ITW-образец оперативно.
* step 2. После получения образца начинается его анализ. Этот этап может выполняться как автоматическими системами, так и вирусными аналитиками. Итогом данного этапа является добавление сигнатуры в антивирусные базы.
* step 3. После того как сигнатура добавлена в антивирусные базы, начинается процесс тестирования. Задачей тестирования является выявление возможных ошибок в новых добавленных записях.
* step 4. По окончании тестирования обновление доставляется пользователю антивирусного продукта.

От момента появления вредоносного файла до фактического получения пользователем антивирусного обновления может пройти несколько часов. Обусловлено это объективными задержками на каждом этапе. Безусловно, по истечении этого времени пользователь будет надежно защищен. Но парадокс состоит в том, что эта защита зачастую многим уже просто не поможет. Если компьютеры пользователей были заражены, то с большой вероятностью персональные данные жертв уже были отправлены злоумышленнику. С помощью полученных антивирусных баз продукт просто обнаружит цифрового вора, если он еще остался на компьютере пользователя, но данные уже не вернешь.

Весь процесс выпуска антивирусных обновлений злоумышленникам прекрасно известен, они хорошо осведомлены о скорости выпуска антивирусных баз и прекрасно понимают, что детектирование их творений — это всего лишь вопрос времени. Именно поэтому они часто выбирают следующую тактику нападения: выпускается вредоносный файл, а через несколько часов, когда антивирусы должны начать его детектировать, к выпуску уже готов новый, у которого есть несколько часов «недетектируемости». И так далее. В результате, несмотря на то что антивирусная индустрия в состоянии обеспечить надежное детектирование угроз, старые добрые антивирусные технологии не всегда позволяют это сделать так быстро, как того требует реальность.

Резюмируя содержимое данного раздела, отметим следующее:

* скорость реакции таких антивирусных технологий, как сигнатурное и generic-детектирование, не отвечает требованиям времени, т.к. вредоносная программа часто успевает украсть данные пользователя и переслать их злоумышленникам до того, как запись в антивирусные базы добавлена, и пользователь получил обновление;
* число угроз, атакующих клиентов финансовых организаций, растет экспоненциально.

Финансовые организации: защита клиентов

В ситуации, описанной выше, когда скорость выпуска антивирусных обновлений в ряде случаев перестает отвечать потребностям времени, финансовые организации пытаются внедрять собственные способы аутентификации клиентов, чтобы уменьшить риск и максимально затруднить киберпреступникам вывод средств с помощью CrimeWare.

И надо признать, что в последние годы финансовые организации весьма преуспели в деле внедрения дополнительных методов аутентификации клиента. Ниже перечислим некоторые из этих методов:

* TAN-коды (Transaction Authorization Number - одноразовый пароль для подтверждения транзакций);
* виртуальные клавиатуры;
* «привязка» клиента к фиксированным IP-адресам;
* секретные вопросы и ключевые слова;
* использование аппаратных ключей для дополнительной аутентификации;
* биометрические системы аутентификации.

Мы не будем останавливаться на том, как злоумышленники преодолевают эти преграды, все это описано в упомянутой выше статье «Атака на банки». Заметим лишь, что способы обмана защиты существуют и с успехом используются злоумышленниками.

Безусловно, принятые меры во многом усложнили жизнь киберкриминалу, но панацеей не стали. Новости об очередных потерях продолжают поступать подобно сводкам с линии фронта:

* FDIC: только за третий квартал 2009 года американские компании потеряли $120 млн. (почти все случаи потерь связаны с вредоносным кодом). www.computerworld.com;
* UK Cards Association: потери от онлайн-банкинга за 2009 год на территории UK выросли на 14% и составили почти £60 млн.);
* ФБР: в 2009 году в США злоумышленники украли у пользователей более полумиллиарда долларов США, что в 2 раза больше, чем годом ранее [PDF 4,77Мб].

По данным «Лаборатории Касперского», по результатам I квартала 2010 года список самых популярных у злоумышленников финансовых организаций выглядит следующим образом:
Название организации Процент от общего числа атак
Bradesco group 6,65%
Banco Santander group 4,71%
Banco do Brasil 3,92%
Citibank 3,74%
Banco Itau 3,33%
Caixa 2,93%
Banco de Sergipe 2,84%
Bank Of America 2,36%
ABN AMRO banking group 2,28%
Banco Nossa Caixa 1,98%
Другие 65,27%

Таблица 1. 10 самых популярных у злоумышленников финансовых организаций. По данным «Лаборатории Касперского»

Этот список практически не меняется на протяжении последних нескольких лет.

Большинство лидирующих позиций в рейтинге заняты бразильскими банками. Причины этого подробно были рассмотрены в статье Дмитрия Бестужева «Бразилия: страна, богатая банкерами».

Число атакованных банков, по нашим данным, только за первые три месяца 2010 года приближается к 1000.

Таким образом, несмотря на предпринимаемые финансистами меры защиты онлайн-банкинга, кибекриминал постоянно находит новые лазейки для получения своего лакомого куска.

Подведем краткие итоги:

* в ответ на внедрение финансовыми организациями средств аутентификации киберкриминал изобретает средства обхода этой защиты. Далее процесс повторяется по спирали: защита–обход–защита–обход...;
* суммы потерь от действий злоумышленников постоянно увеличиваются.

Существуют ли эффективные решения?

Попытаемся теперь дать ответ на главный вопрос: возможно ли в современных условиях дать отпор CrimeWare?

Сведем вместе список проблем, о которых говорилось выше и для которых желательно найти решение применительно к банкам и компаниям, имеющим дело с деньгами клиентов:

* скорость выпуска антивирусных баз (время от появления ITW-зловреда до получения пользователем обновления) не отвечает современным требованиям;
* число угроз, направленных против клиентов финансовых учреждений, растет экспоненциально;
* предлагаемые финансовыми организациями схемы защиты клиентов не всегда решают проблему утечки финансовых средств клиентов в тех случаях, когда кража происходит с использованием троянских программ.

Напрашивается вывод, что все плохо: антивирусная индустрия не успевает, активность злоумышленников растет, эффективно защитить клиентов банков не всегда получается и т.д. Однако нет: технологии постоянно развиваются, и сегодня у лидеров антивирусного рынка есть что противопоставить киберпреступникам.

В настоящее время некоторые игроки антивирусного рынка уже имеют в своем арсенале in-the-cloud технологии, позволяющие в реальном времени выявлять и блокировать неизвестный вредоносный контент и источники его распространения. Речь идет о клиент-серверных технологиях, ориентированных на анализ метаданных об активности вредоносных программ на компьютерах пользователей. Подчеркнем, что эти метаданные отправляются только с согласия пользователей и не содержат какой бы то ни было частной информации.

Отличает эту технологию от детектирования антивирусными базами объект анализа. Если антивирусное ядро может анализировать только непосредственно объект исследования в конкретной системе (файл или его поведение на данном компьютере, например), то анализ полученных от пользователей метаданных позволяет эффективно выявлять подозрительную активность в реальном времени сразу на множестве компьютеров, а затем блокировать выявленные угрозы и источник их распространения. На практике пользователи такой распределенной сети защищены уже через несколько минут после появления угрозы.

Таким образом, использование антивирусных in-the-cloud технологий дает целый ряд преимуществ:

* оперативное детектирование в течение нескольких минут после возникновения угрозы (в отличие от нескольких часов, которые требуются для обновления антивирусных баз);
* значительное повышение уровня детектирования антивирусных продуктов, так как в дополнение к давно существующим технологиям используются новые и, как показывает практика, весьма эффективные механизмы выявления новых угроз;
* оперативное выявление и блокирование не только самих угроз, но и источников их распространения;
* Кроме того, использование данных технологий дает возможность полного понимания ситуации: в какое время, в каком месте, кто атаковал, в каком количестве пострадали пользователи, сколько пользователей было защищено и т.д.

Что это дает финансовым организациям? Подобные решения имеют возможность автоматически, в реальном времени, уведомлять финансовые структуры о появлении новых угроз, направленных против их клиентов. В таких уведомлениях могут быть указаны подробные параметры угроз и представлены инструкции по борьбе с ними.

Также востребованным оказывается сервис по предоставлению персонального доступа финансовым организациям в так называемую ситуационную комнату. Это web-ресурс, зайдя на который под персональным логином и паролем, посетитель может получить информацию в гораздо большем объеме, чем она содержится в почтовых уведомлениях: например, любую отчетность и аналитику, связанную с его организацией, его регионом, с источниками атак на клиентов.

Однако результат внедрения таких систем уведомления и отчетности трудно назвать удовлетворительным в силу ряда причин:

* Далеко не все клиенты банков имеют у себя на компьютере антивирусную программу, что не позволяет составить полную картину атак.
* Чтобы информация могла быть проанализирована централизованно и в полном объеме, необходимо, чтобы все пользователи онлайн-банкинга использовали один и тот же антивирусный продукт, что само по себе труднодостижимо.
* Существует проблема доверия: служба безопасности любого банка, едва услышав, что какая-то информация с компьютеров клиентов будет отправляться во внешний аналитический центр, принадлежащий сторонней компании, мягко говоря, будет весьма этим озабочена, что вполне естественно.

Все это значительно затрудняет выявление целевых атак.

Для получения полной картины действий киберпреступников против какого-либо банка разумным выходом лично мне представляется более тесное объединение усилий антивирусных компаний и финансовых организаций.

* Для максимального охвата пользователей системы онлайн-банкинга решение для выявления вредоносной активности целесообразно интегрировать в клиентскую часть онлайн-банкинга. При этом никакие частные данные со стороны клиентов онлайн-банкинга не собираются, а включение подобного сервиса можно сделать частью политики безопасности, что в перспективе позволит банкам снизить затраты на страховые выплаты, компенсации и штрафы.
* Центры первичного автоматического анализа угроз могут находиться под контролем служб безопасности банков, что позволит им при необходимости самостоятельно проводить анализ. Подобные IT-подразделения уже есть в составе крупных финансовых корпораций. Имея полный контроль над получаемыми данными, службы безопасности самостоятельно смогут решать, какую информацию можно предоставлять для анализа антивирусному производителю. Стоит понимать, что организация подобных центров анализа внутри самой финансовой компании целесообразна лишь при желании самой компании контролировать потоки передаваемых данных, а также иметь отношение к анализу атак. Наиболее привлекательно такое решение для крупных игроков рынка по упомянутой выше причине — из-за наличия в штате соответствующих IT-подразделений, занимающихся анализом атак со стороны вредоносных программ.
* Пользователям онлайн-банкинга из центров анализа поступает информация о блокировке новых выявленных угроз и их источников.

Таким образом, более плотное взаимодействие антивирусных и финансовых компаний в борьбе с криминалом позволит убить двух зайцев сразу. Финансовым организациям подобный подход позволит минимизировать риск, сократить выплаты по результатам инцидентов. Антивирусным компаниям этот альянс позволит более эффективно противодействовать целевым атакам.
Государственная поддержка

До настоящего момента в качестве участников борьбы против кибекриминала мы рассматривали лишь антивирусные и финансовые компании. Однако есть еще один участник, который, пожалуй, при всех имеющихся у него возможностях пока принимает недостаточное участие в борьбе. Речь идет о государстве.

Дело в том, что без поддержки государства победить криминал вряд ли удастся, особенно учитывая наличие границ между странами, которые сильно усложняют поимку киберпреступников, в то время как отсутствие границ в интернете дает преступникам полную свободу действий. Есть ли, например, у Корейского банка возможность быстро закрыть хостинг в Бразилии, пройдя через все имеющиеся госпроцедуры? Или у Бразильского банка закрыть вредоносный хостинг в Китае? Ответ очевиден: без наличия эффективных механизмов взаимодействия спецслужб различных стран успешное противодействие киберкриминалу видится затруднительным, и борьба напоминает перетягивание каната: как только появляются новые технологии против криминала, он создает новые способы обхода этих технологий. Далее все начинается сначала.

Ниже приведена география распределения вредоносных хостингов, занимающихся распространением финансовых зловредов, в первом квартале 2010 года (таблица 2).
Название страны Процент от общего числа атак
Бразилия 30,28%
США 26,55%
Китай 7,39%
Росиия 5,70%
Германия 4,41%
Франция 3,26%
Испания 2,88%
Великобритания 2,10%
Южная Корея 1,53%
Нидерланды 1,39%
Другие 14,51%

Таблица 2. 10 стран, с ресурсов которых наиболее часто загружаются финансовые зловреды. Данные получены через Kaspersky Security Network.
Заключение

Мы описали некоторые трудности, с которыми сталкиваются антивирусные компании и финансовые организации в борьбе с киберкреступниками, промышляющими кражей денег у клиентов онлайн-банкинга. Был рассмотрен один из возможных путей выхода из ситуации.

Предложенное решение может быть примененоне только в онлайн-банкинге. Так же эффективно можно отслеживать атаки на пользователей онлайн-игр, систем электронных денег и обменников (заметим, что такие атаки регистрируются заметно чаще, чем атаки на системы онлайн-банкинга).

Ну и безусловно стоит сказать о государственной политике в этой области – без помощи со стороны государства вся борьба с киберкриминалом будет вестись лишь с переменным успехом. Пока не будет механизмов оперативной коммуникации госслужб, проблема будет оставаться нерешенной.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/394375.php

[q]

Лаборатория PandaLabs обнаружила сеть, в которой продаются боты, специализирующиеся на социальных сетях и системах электронной почты. На общедоступной Интернет-странице выложен подробный каталог программ, нацеленных на сервисы электронной почты и социальные сети, включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail и Yahoo.

К каждому боту прилагается объяснение цели создания данного бота: одновременное создание многочисленных аккаунтов в социальных сетях; кража персональных данных, друзей, поклонников и контактов; автоматическая отправка сообщений и др. Источник сообщает: "Все боты работают традиционным способом, они собирают ID/имена друзей и отправляют запросы на добавление в друзья, оставляют сообщения и автоматические комментарии".

Луис Корронс, технический директор PandaLabs, сообщил: "Мы расследуем это дело, налицо еще один пример чрезвычайно выгодного бизнеса кибер-преступников – распространение вредоносного ПО. Каталог ботов для продажи – это всего лишь один из множества вариантов использования Интернет-угроз. Некоторые из представленных в каталоге ботов практически невинны, если можно употребить в данном контексте это слово (те, что создают аккаунты). Однако другие нацелены на мошенничество – они крадут персональные данные, фотографий и пр".

Самый дешевый бот стоит от 95$, самый дорогой - 225$. Весь каталог ботов можно приобрести за 4500$. Создатели гарантируют, что ни одно решение безопасности не сможет обнаружить этих ботов, поскольку они специально были разработаны с учетом смены пользователей, агентов и заголовков так часто, как это необходимо для того, чтобы не быть обнаруженными. Также они умеют обходить механизм защиты CAPTCHA, присутствующий на многих сайтах, поэтому покупателю останется только установить параметры и позволить ботам работать самостоятельно. Кроме того, в стоимость включена функция постоянного обновления.

Наиболее необычные действия, ради которых создаются боты:

- Автоматический генератор визитов и просмотров видеозаписей на YouTube

- Оптимизация рейтингов в Alexa

- Подкуп избирателей в Digg

- Неограниченная отправка сообщений на онлайновых сайтах знакомств, таких как DirectMatches.

Боты специально адаптированы под каждый Веб-сайт. Они нацелены не только на социальные сети и сообщества, имеющие международную популярность, но и на локальные сайты, такие как Tuenti, Yahoo UK и др.

"На этом портале также предлагается зарабатывать деньги за счет перепродажи "продукции". Именно по такой модели строятся кибер-мафия и организации, работающие на территории нескольких стран. Мы не должны забывать, что этот бизнес живет не только потому, что существуют разработчики угроз, но и потому что всегда находятся преступники, готовые за эти угрозы платить. До тех пор, пока мы не будем в состоянии оградить пользователей от подобного искушения, данная бизнес-модель будет процветать", - заключил Луис Коррон
[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7 8 ... 11 12 13 14 15 16
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook