Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

207_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

17.82 Mб

Скачать

☆

<<< < Предыдущая 14 15 16 17 18 19 20 21 22 23 24 2526 / 4026 27 28 29 30 31 32 33 34 35 36 37 38 > Следующая >>>

hang

NOW!

BUY

w Click

Как видно, вирус ipamor успел хорошо расплодиться по всей системе. А все

-xcha

-x cha

потому, что я разрешил ему это сделать. А ведь можно было бы и запретить — причем для этого не нужен никакой антивирус.

Что же касается Win 10, то она так же восприимчива к вирусам, как и Win 7. Можно предположить, что большая часть (ясно, не все) вирусов, которые работают в 64-битной семерке, с успехом запустятся в десятке. Упомянутый вирус ipamor довольно древний — он зверствовал еще в 2006 году, то есть десять лет назад. Тем не менее он может довольно удачно инфицировать самую современную версию Windows.

Думаешь, Win 10 стабильнее? Посмотри на рис. 24 и 25 — как говорится, найди десять отличий.

Рис. 24. Dr.Web занят работой. Вирусы, похоже, тоже. Windows 7

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис. 25.

Та же карти-

на, но в Win 10

На рис. 26 результат действий одной из вредоносных программ: все документы, архивы и некоторые другие файлы переименованы в .MP3. Обратное переименование не помогает — файлы оказываются поврежденными. Ради справедливости, нужно отметить, что в Windows 7 наблюдалось то же самое.

Рис. 26. Ре-

зультат действия вируса. Самое интересное в том,

что CureIt

не видела проблемы в этих файлах.

Скорее всего, они просто испорчены вирусом

hang

NOW!

BUY

w Click

Промежуточный результат

-xcha

-x cha

Запуск EXE-файла малвари с высокой степенью вероятности приведет к заражению системы. Однако даже штатный антивирус, брандмауэр и UAC способны очень сильно снизить эту вероятность.

Благодарности

Хочу выразить благодарность редактору «Хакера» Александру Лозовскому за идею этой статьи (как я люблю получать благодарности за свою обычную

работу, ура! — Прим. ред.) и моим анонимным друзьям за присланные семплы малвари.

А НУЖЕН ЛИ АНТИВИРУС?

Вэтой статье было показано, как неправильные действия пользователя привели к инфицированию системы. Если же не пренебрегать стандартными инструментами системы, не использовать правило Зигзага (нажимать на все кнопки сразу) и проявлять бдительность по отношению к запускаемым программам

иоткрываемым файлам/ссылкам, вирусы не так уж и страшны.

Вот рекомендации, следуя которым ты можешь поддерживать систему в чистоте без (по крайней мере стороннего) антивируса.

1.Обновляй софт. Чем новее ось, браузер, версия офиса, тем меньше вероятность того, что в новой системе запустятся старые вирусы. Конечно, из всех правил есть исключения — бывает, что сами обновления несут в себе ошибки и уязвимости. Существуют и «долгоиграющие» вирусы, один из которых был показан в статье. Но все равно, вероятность того, что множество старых вирусов не запустятся в новой системе, просто огромна.

2.Используй 64-битные системы. Некоторые вирусы отказываются на них запускаться.

3.В Win 7 вместо IE используй Chrome или любой другой браузер. Что же касается Edge, то его безопасность (особенно вместе с защитником) пока не вызывает сомнений. А использовать его уже или нет — это дело вкуса, и здесь каждый решает сам.

4.UAC — это не постоянно мешающая фича, а реально полезный инструмент, позволяющий оградить систему от всякой заразы.

5.Стандартный брандмауэр, может, и не эталон, но все же лучше, чем ничего. Если не планируешь устанавливать проверенный сторонний продукт, от-

ключать штатный не стоит.

hang

NOW!

BUY

w Click

6. Если браузер рекомендует не посещать тот или иной сайт, лучше отказаться

-xcha

-x cha

от просмотра. Если уж сильно нужно, всегда можно использовать виртуал-

ку — если и будет заражена, то виртуальная машина, а не хост.

7. Регулярно делай бэкапы на внешний винт — даже если какой-то вирус и ис-

портит твои документы, бэкап быстро поправит ситуацию.

8. Штатный антивирус в Win 10 довольно хорош и имеет право на жизнь. Если

не хочешь тратиться на сторонние программные продукты, не отключай его.

Чем новее версия MS Office, тем меньше вероятность, что запустится вре-

доносный код из документов Office. Дважды подумай, прежде чем включать макросы, особенно для документов, полученных из сомнительных источников.

10.И напоследок самое главное — не работай под админом. Создай аккаунт, который будет использоваться для обычной работы с компом — работы с документами, серфинга, просмотра фильмов.

Конечно, даже если придерживаться этих рекомендаций, все еще есть вероятность инфицирования системы, хоть и небольшая. Начинающим или невнимательным пользователям, которые хотят просто работать и не задумываться ни о чем, нужно устанавливать антивирус.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY						MALWARE: Колонка Дениса Макрушина
			df-xchan								MALWARE: Колонка Дениса Макрушина
w Click				to						m
w
	w								o
	.							.c
		p					g
								e

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

МАЛВАРЬ

ДЛЯБАНКОМАТА

Денис Макрушин

defec.ru, twitter.com/difezza

Большие железные ящики с деньгами, известные нам как банкоматы, а буржуинам — как ATM, логично

привлекали внимание преступников с самого момента их изобретения. В рамках этой статьи нас будут интересовать не «силовые» угрозы АТМ, которые бывали в прошлом и эпизодически появляются в наше время (циркулярная пила, автоген, внедорожник 4х4 и лебедка), а угрозы интеллектуальные.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Закат эпохи скиммеров

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Одно время скиммеры — накладные устройства, которые хитрые мошенники прилаживали к реальным банкоматам, — были очень распространены. Настолько, что их жертвами стали даже некоторые члены нашей редакции :) — как говорится, оцените мастерство хакеров, сделавших скиммеры абсолютно незаметными на банкомате.

Однако с приходом международного стандарта EMV (Europay, MasterCard, VISA), который определяет ряд требований к операциям взаимодействия банковской карты и платежного устройства, уровень безопасности финансовых операций, совершенных пользователем посредством ATM-устройства, заметно вырос. А вместе с этим заметно упал объем банкоматного скимминга.

МАЛВАРЬ ДЛЯ АТМ

Идея заразить банкомат трояном выглядит намного безопаснее тактики, включающей трос, циркулярку или скиммер. А преимуществ она сулит предостаточно, и к настоящему времени история продемонстрировала финансовым организациям немало представителей вредоносного программного обеспечения для ATM-устройств.

Так, первый вирус, нацеленный на банкоматы, был обнаружен «Лабораторией Касперского» в 2009 году — и Backdoor.Win32.Skimmer до сих пор находят на некоторых банкоматах. Этот троян крадет данные кредитных карт пользователей, а также умеет несанкционированно выдавать деньги.

В качестве другого интересного примера можно привести Trojan-Spy. Win32.SPSniffer, или Chupa Cabra. Этот троян, впервые замеченный экспертами в 2010 году в Бразилии, работает на всех типах банкоматов. Он перехватывает данные с устройства для считывания информации с карты.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Хронологияобнаружениявредоносногопрограммногообеспечениядля ATM-устройств (источник:«ЛабораторияКасперского»)

Информации о подобного рода троянах уже накопилось достаточно, чтобы на примере самых ярких представителей проанализировать их особенности и на основе этого анализа сделать выводы о том, какие меры и технологии требуются для защиты ATM.

BACKDOOR.MSIL.TYUPKIN

В марте 2014 года мир узнал о вредоносном программном обеспечении, которое было установлено злоумышленниками в банкоматы и позволяло им снимать огромные суммы денег. Преступнику достаточно подойти к зараженному ATM, ввести с клавиатуры устройства определенный код и получить все содержимое кассет с купюрами!

hang

NOW!

BUY

w Click

Прежде чем проанализировать, как вредоносный код оказался внутри ATM

-xcha

-x cha

и какой функциональностью обладал, важно понять один факт: каждый банкомат является компьютером, предназначенным для решения специфичных задач. В свою очередь, это означает, что данное устройство подвержено тем же угрозам, что и традиционные рабочие станции и серверы, а их операционные системы могут содержать те же уязвимости, что и их десктопные и серверные аналоги.

Как выяснилось, вредоносное программное обеспечение, которое получило название Tyupkin (Backdoor.Win32.Tyupkin), было установлено в ATM при помощи загрузочного компакт-диска при непосредственном доступе преступника к компьютеру банкомата.

Количество

вредоносных

образцов

Tyupkin

по странам (согласно статистике

VirusTotal)

После попадания в операционную систему банкомата малварь сразу же отключала систему защиты McAfee Solidcore, удаляя его программные компоненты, запускала бесконечный цикл ожидания пользовательского ввода и для того, чтобы исключить свое обнаружение, принимала какие-либо команды только в ночное время в воскресенье и понедельник. Зная команды и специальный код (сообщение от зловреда: «ENTER SESSION KEY TO PROCEED!»), который принимал троян, чтобы исключить взаимодействие со случайным пользователем, преступник получал доступ к содержимому кассет и снимал купюры.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Интерфейс взаимодействия Tyupkin с киберпреступником

Однако Tyupkin оказался не единственной угрозой для ATM, с которой столкнулись финансовые организации.

CARBANAK

Весной 2014-го «Лаборатория Касперского» была вовлечена в криминалистическое расследование: банкоматы одного из банков выдавали деньги без физического взаимодействия получателя с банкоматом. Так началась история расследования кампании Carbanak и исследования одноименного вредоносного ПО.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

hang

NOW!

BUY

w Click

-x cha

Карта заражений Carbanak

Carbanak представляет собой бэкдор, изначально написанный на основе кода Carberp. Этот бэкдор предназначен для шпионажа, сбора данных и предоставления удаленного доступа на зараженный компьютер. После того как злоумышленники получали доступ к какой-нибудь машине внутри банковской сети, они проводили разведку сети на предмет дальнейшего распространения и заражения критически важных систем — процессинговых, бухгалтерских, а также банкоматов.

Разведку злодеи проводили в ручном режиме, пытаясь взломать нужные компьютеры (например, компьютеры администраторов) и применяя инструменты, обеспечивающие дальнейшее заражение компьютеров в сети. Другими словами, получив доступ к сети, они переходили с одного компьютера на другой, пока не находили интересующий их объект. Выбор таких объектов изменялся от атаки к атаке, однако общим оставался результат: злодеям удавалось выводить деньги из финансовой организации, и одним из основных каналов вывода были банкоматы.

<<< < Предыдущая 14 15 16 17 18 19 20 21 22 23 24 2526 / 4026 27 28 29 30 31 32 33 34 35 36 37 38 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202413.99 Mб13202_Optimized.pdf
#
20.04.202411.45 Mб12203_Optimized.pdf
#
20.04.202411.07 Mб12204_Optimized.pdf
#
20.04.202413.88 Mб12205_Optimized.pdf
#
20.04.202415.41 Mб12206_Optimized.pdf
#
20.04.202417.82 Mб12207_Optimized.pdf
#
20.04.202417.32 Mб12208_Optimized.pdf
#
20.04.202412.19 Mб12209_Optimized.pdf
#
20.04.202410.48 Mб12210_Optimized.pdf
#
20.04.202422.59 Mб12211_Optimized.pdf
#
20.04.202417.81 Mб17212_Optimized.pdf