CrimeWare: новый виток противостояния

• Введение
• Киберкриминал атакует
• Антивирусная индустрия: технологический тупик?
• Финансовые организации: защита клиентов
• Существуют ли эффективные решения?
• Государственная поддержка
• Заключение

Введение

Публикация посвящена анализу ситуации, сложившейся в последнее время в области атак вредоносных программ на клиентов финансовых организаций. Наше внимание будет акцентировано как на противостоянии финансовых вредоносных программ (также известных как CrimeWare) и антивирусной индустрии, так и на противостоянии этих зловредов и финансового сектора.

В нашей статье мы не будем останавливаться на методах заражения компьютеров пользователей и на иных способах атак на финансовые организации, используемых злоумышленниками (фишинг, социальная инженерия), так как эти проблемы, хотя и по-прежнему актуальны, но уже были подробно рассмотрены в наших предыдущих публикациях, которые можно найти на данном ресурсе. Например, в статье моего коллеги: «Атаки на банки».

Целью публикации является попытка ответить на вопрос: возможно ли в современных условиях эффективно противодействовать постоянно увеличивающемуся натиску вредоносных программ на финансовую индустрию.

Целевой аудиторией данной публикации являются специалисты финансовых учреждений, а также IT-профессионалы, интересующиеся данной проблематикой.

Перед тем как перейти непосредственно к содержательной части, хотелось бы подчеркнуть, что все представленные рейтинги финансовых организаций ни к коей мере не означают их ненадежность и не говорят о простоте «взлома» их по сравнению с остальными игроками индустрии. Эти рейтинги зачастую зависят от популярности самой системы среди пользователей. Поэтому делать выводы о ненадежности систем защиты банка на основании приведенных материалов неверно.

Киберкриминал атакует

В последнее время мы все чаще и чаще слышим об успешных атаках злоумышленников на пользователей финансовых организаций. Чаще всего при атаках с применением вредоносных программ используется следующая последовательность действий: поиск жертв и их инфицирование, получение доступа или параметров для доступа к онлайн-банкингу, вывод средств.

Громкий пример последнего времени связан с семейством ZBot-toolkit (также данное семейство известно под именем ZeuS).

Этот вредоносный инструмент, специализирующийся на краже учетных записей пользователей для доступа к онлайн-банкингу, оставался активен на протяжении всего 2009 года и продолжает оставаться в настоящее время, словно насмехаясь над IT-специалистами, пытающимися закрыть бот-сеть ZeuS. По данным центра ZeuS Tracker
на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем 20-50 тысячами зараженных компьютеров (зная эти цифры, легко можно подсчитать количество жертв). География расположения центров управления бот-сетью весьма обширна (рис. 1):

Рис. 1. География центров управления бот-сетью ZBot/ZeuS.
Данные ZeuS Tracker

Подобное географическое распределение позволяет обеспечить высокую живучесть бот-сети. Как показала недавняя практика, бот-сеть не выведешь из строя простым закрытием нескольких хостингов: начиная с 9 марта, Роман Хюссе, наблюдающий за бот-сетью с помощью ZeuS Tracker, отметил резкое уменьшение числа центров управления и связал это с отключением интернет-провайдера Troyak. К 11 марта число центров управления сократилось до 104. Однако спустя еще пару дней Troyak нашел нового телеоператора, и 13 марта число управляющих центров опять превысило 700 — радость, к сожалению, оказалась преждевременной.

И это далеко не единственный toolkit, направленный на кражу данных для доступа к финансовым средствам пользователей. Чего стоит toolkit Spy Eye, который не только занимается кражей данных, но и уничтожает своего конкурента ZBot/Zeus – что ж, виртуальные войны в действии.

Не менее известной стала бот-сеть Mariposa, включающая в себя 13 миллионов компьютеров по всему миру и ликвидированная испанской полицией в декабре 2009 года.

Пользователи зараженных компьютеров, входящих в состав всех этих бот-сетей, представляются злоумышленникам простыми денежными мешками — именно такими символами отображались зараженные компьютеры в панели управления бот-сети Spy Eye.

Антивирусная индустрия: технологический тупик?

Все это «бот-хозяйство», о котором речь шла выше, является рассадником финансовых зловредов. С помощью таких вредоносных программ киберкриминал наживается, воруя денежные средства пользователей и постоянно находя новые жертвы. Цифры наглядно демонстрируют рост числа вредоносных программ в последние годы — тех программ, которые занимаются кражей данных клиентов банков и других финансовых компаний пользователей (рис. 2):

Рис. 2. Рост числа уникальных зловредов,
используемых для кражи финансовых средств пользователей
Данные «Лаборатории Касперского»

Приведенные цифры показывают экспоненциальный поквартальный рост банковских зловредов с момента их первого появления до настоящего времени. Ситуацию усугубляет тот факт, что немалый процент из них на момент появления не детектируется антивирусными продуктами большинства производителей. Например, по данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «жатву».

Почему так происходит? Для наглядности рассмотрим, как организован процесс выпуска «лекарства» с использованием обычных антивирусных баз. Сам процесс может незначительно отличаться у разных антивирусных производителей, но в целом он именно такой (рис. 3):

Рис. 3. Процесс выпуска обновлений сигнатурных баз

Рассмотрим эту схему:

• step 1. С началом распространения злоумышленником вредоносного файла первоочередной задачей антивирусной компании является выявление и получение образца (сампла) этой вредоносной программы. Данная цель может достигаться различными способами: файл будет прислан пострадавшим, получен системами автоматического перехвата или сбора вредоносных образцов или в результате обмена файлами с партнерами и т.д. Однако, учитывая особенности распространения зловредов, несмотря на большое число каналов для получения самплов далеко не всегда есть возможность получить ITW-образец оперативно.
• step 2. После получения образца начинается его анализ. Этот этап может выполняться как автоматическими системами, так и вирусными аналитиками. Итогом данного этапа является добавление сигнатуры в антивирусные базы.
• step 3. После того как сигнатура добавлена в антивирусные базы, начинается процесс тестирования. Задачей тестирования является выявление возможных ошибок в новых добавленных записях.
• step 4. По окончании тестирования обновление доставляется пользователю антивирусного продукта.

От момента появления вредоносного файла до фактического получения пользователем антивирусного обновления может пройти несколько часов. Обусловлено это объективными задержками на каждом этапе. Безусловно, по истечении этого времени пользователь будет надежно защищен. Но парадокс состоит в том, что эта защита зачастую многим уже просто не поможет. Если компьютеры пользователей были заражены, то с большой вероятностью персональные данные жертв уже были отправлены злоумышленнику. С помощью полученных антивирусных баз продукт просто обнаружит цифрового вора, если он еще остался на компьютере пользователя, но данные уже не вернешь.

Весь процесс выпуска антивирусных обновлений злоумышленникам прекрасно известен, они хорошо осведомлены о скорости выпуска антивирусных баз и прекрасно понимают, что детектирование их творений — это всего лишь вопрос времени. Именно поэтому они часто выбирают следующую тактику нападения: выпускается вредоносный файл, а через несколько часов, когда антивирусы должны начать его детектировать, к выпуску уже готов новый, у которого есть несколько часов «недетектируемости». И так далее. В результате, несмотря на то что антивирусная индустрия в состоянии обеспечить надежное детектирование угроз, старые добрые антивирусные технологии не всегда позволяют это сделать так быстро, как того требует реальность.

Резюмируя содержимое данного раздела, отметим следующее:

• скорость реакции таких антивирусных технологий, как сигнатурное и generic-детектирование, не отвечает требованиям времени, т.к. вредоносная программа часто успевает украсть данные пользователя и переслать их злоумышленникам до того, как запись в антивирусные базы добавлена, и пользователь получил обновление;
• число угроз, атакующих клиентов финансовых организаций, растет экспоненциально.

Финансовые организации: защита клиентов

В ситуации, описанной выше, когда скорость выпуска антивирусных обновлений в ряде случаев перестает отвечать потребностям времени, финансовые организации пытаются внедрять собственные способы аутентификации клиентов, чтобы уменьшить риск и максимально затруднить киберпреступникам вывод средств с помощью CrimeWare.

И надо признать, что в последние годы финансовые организации весьма преуспели в деле внедрения дополнительных методов аутентификации клиента. Ниже перечислим некоторые из этих методов:

• TAN-коды (Transaction Authorization Number — одноразовый пароль для подтверждения транзакций);
• виртуальные клавиатуры;
• «привязка» клиента к фиксированным IP-адресам;
• секретные вопросы и ключевые слова;
• использование аппаратных ключей для дополнительной аутентификации;
• биометрические системы аутентификации.

Мы не будем останавливаться на том, как злоумышленники преодолевают эти преграды, все это описано в упомянутой выше статье «Атака на банки». Заметим лишь, что способы обмана защиты существуют и с успехом используются злоумышленниками.

Безусловно, принятые меры во многом усложнили жизнь киберкриминалу, но панацеей не стали. Новости об очередных потерях продолжают поступать подобно сводкам с линии фронта:

• FDIC: только за третий квартал 2009 года американские компании потеряли $120 млн. (почти все случаи потерь связаны с вредоносным кодом);
• UK Cards Association: потери от онлайн-банкинга за 2009 год на территории UK выросли на 14% и составили почти £60 млн.);
• ФБР: в 2009 году в США злоумышленники украли у пользователей более полумиллиарда долларов США, что в 2 раза больше, чем годом ранее [PDF 4,77Мб].

По данным «Лаборатории Касперского», по результатам I квартала 2010 года список самых популярных у злоумышленников финансовых организаций выглядит следующим образом:

Таблица 1. 10 самых популярных у злоумышленников финансовых организаций.
По данным «Лаборатории Касперского»

Этот список практически не меняется на протяжении последних нескольких лет.

Большинство лидирующих позиций в рейтинге заняты бразильскими банками. Причины этого подробно были рассмотрены в статье Дмитрия Бестужева «Бразилия: страна, богатая банкерами».

Число атакованных банков, по нашим данным, только за первые три месяца 2010 года приближается к 1000.

Таким образом, несмотря на предпринимаемые финансистами меры защиты онлайн-банкинга, кибекриминал постоянно находит новые лазейки для получения своего лакомого куска.

Подведем краткие итоги:

• в ответ на внедрение финансовыми организациями средств аутентификации киберкриминал изобретает средства обхода этой защиты. Далее процесс повторяется по спирали: защита–обход–защита–обход…;
• суммы потерь от действий злоумышленников постоянно увеличиваются.

Существуют ли эффективные решения?

Попытаемся теперь дать ответ на главный вопрос: возможно ли в современных условиях дать отпор CrimeWare?

Сведем вместе список проблем, о которых говорилось выше и для которых желательно найти решение применительно к банкам и компаниям, имеющим дело с деньгами клиентов:

• скорость выпуска антивирусных баз (время от появления ITW-зловреда до получения пользователем обновления) не отвечает современным требованиям;
• число угроз, направленных против клиентов финансовых учреждений, растет экспоненциально;
• предлагаемые финансовыми организациями схемы защиты клиентов не всегда решают проблему утечки финансовых средств клиентов в тех случаях, когда кража происходит с использованием троянских программ.

Напрашивается вывод, что все плохо: антивирусная индустрия не успевает, активность злоумышленников растет, эффективно защитить клиентов банков не всегда получается и т.д. Однако нет: технологии постоянно развиваются, и сегодня у лидеров антивирусного рынка есть что противопоставить киберпреступникам.

В настоящее время некоторые игроки антивирусного рынка уже имеют в своем арсенале in-the-cloud технологии, позволяющие в реальном времени выявлять и блокировать неизвестный вредоносный контент и источники его распространения. Речь идет о клиент-серверных технологиях, ориентированных на анализ метаданных об активности вредоносных программ на компьютерах пользователей. Подчеркнем, что эти метаданные отправляются только с согласия пользователей и не содержат какой бы то ни было частной информации.

Отличает эту технологию от детектирования антивирусными базами объект анализа. Если антивирусное ядро может анализировать только непосредственно объект исследования в конкретной системе (файл или его поведение на данном компьютере, например), то анализ полученных от пользователей метаданных позволяет эффективно выявлять подозрительную активность в реальном времени сразу на множестве компьютеров, а затем блокировать выявленные угрозы и источник их распространения. На практике пользователи такой распределенной сети защищены уже через несколько минут после появления угрозы.

Таким образом, использование антивирусных in-the-cloud технологий дает целый ряд преимуществ:

• оперативное детектирование в течение нескольких минут после возникновения угрозы (в отличие от нескольких часов, которые требуются для обновления антивирусных баз);
• значительное повышение уровня детектирования антивирусных продуктов, так как в дополнение к давно существующим технологиям используются новые и, как показывает практика, весьма эффективные механизмы выявления новых угроз;
• оперативное выявление и блокирование не только самих угроз, но и источников их распространения;
• Кроме того, использование данных технологий дает возможность полного понимания ситуации: в какое время, в каком месте, кто атаковал, в каком количестве пострадали пользователи, сколько пользователей было защищено и т.д.

Что это дает финансовым организациям? Подобные решения имеют возможность автоматически, в реальном времени, уведомлять финансовые структуры о появлении новых угроз, направленных против их клиентов. В таких уведомлениях могут быть указаны подробные параметры угроз и представлены инструкции по борьбе с ними.

Также востребованным оказывается сервис по предоставлению персонального доступа финансовым организациям в так называемую ситуационную комнату. Это web-ресурс, зайдя на который под персональным логином и паролем, посетитель может получить информацию в гораздо большем объеме, чем она содержится в почтовых уведомлениях: например, любую отчетность и аналитику, связанную с его организацией, его регионом, с источниками атак на клиентов.

Однако результат внедрения таких систем уведомления и отчетности трудно назвать удовлетворительным в силу ряда причин:

• Далеко не все клиенты банков имеют у себя на компьютере антивирусную программу, что не позволяет составить полную картину атак.
• Чтобы информация могла быть проанализирована централизованно и в полном объеме, необходимо, чтобы все пользователи онлайн-банкинга использовали один и тот же антивирусный продукт, что само по себе труднодостижимо.
• Существует проблема доверия: служба безопасности любого банка, едва услышав, что какая-то информация с компьютеров клиентов будет отправляться во внешний аналитический центр, принадлежащий сторонней компании, мягко говоря, будет весьма этим озабочена, что вполне естественно.

Все это значительно затрудняет выявление целевых атак.

Для получения полной картины действий киберпреступников против какого-либо банка разумным выходом лично мне представляется более тесное объединение усилий антивирусных компаний и финансовых организаций.

• Для максимального охвата пользователей системы онлайн-банкинга решение для выявления вредоносной активности целесообразно интегрировать в клиентскую часть онлайн-банкинга. При этом никакие частные данные со стороны клиентов онлайн-банкинга не собираются, а включение подобного сервиса можно сделать частью политики безопасности, что в перспективе позволит банкам снизить затраты на страховые выплаты, компенсации и штрафы.
• Центры первичного автоматического анализа угроз могут находиться под контролем служб безопасности банков, что позволит им при необходимости самостоятельно проводить анализ. Подобные IT-подразделения уже есть в составе крупных финансовых корпораций. Имея полный контроль над получаемыми данными, службы безопасности самостоятельно смогут решать, какую информацию можно предоставлять для анализа антивирусному производителю. Стоит понимать, что организация подобных центров анализа внутри самой финансовой компании целесообразна лишь при желании самой компании контролировать потоки передаваемых данных, а также иметь отношение к анализу атак. Наиболее привлекательно такое решение для крупных игроков рынка по упомянутой выше причине — из-за наличия в штате соответствующих IT-подразделений, занимающихся анализом атак со стороны вредоносных программ.
• Пользователям онлайн-банкинга из центров анализа поступает информация о блокировке новых выявленных угроз и их источников.

Таким образом, более плотное взаимодействие антивирусных и финансовых компаний в борьбе с криминалом позволит убить двух зайцев сразу. Финансовым организациям подобный подход позволит минимизировать риск, сократить выплаты по результатам инцидентов. Антивирусным компаниям этот альянс позволит более эффективно противодействовать целевым атакам.

Государственная поддержка

До настоящего момента в качестве участников борьбы против кибекриминала мы рассматривали лишь антивирусные и финансовые компании. Однако есть еще один участник, который, пожалуй, при всех имеющихся у него возможностях пока принимает недостаточное участие в борьбе. Речь идет о государстве.

Дело в том, что без поддержки государства победить криминал вряд ли удастся, особенно учитывая наличие границ между странами, которые сильно усложняют поимку киберпреступников, в то время как отсутствие границ в интернете дает преступникам полную свободу действий. Есть ли, например, у Корейского банка возможность быстро закрыть хостинг в Бразилии, пройдя через все имеющиеся госпроцедуры? Или у Бразильского банка закрыть вредоносный хостинг в Китае? Ответ очевиден: без наличия эффективных механизмов взаимодействия спецслужб различных стран успешное противодействие киберкриминалу видится затруднительным, и борьба напоминает перетягивание каната: как только появляются новые технологии против криминала, он создает новые способы обхода этих технологий. Далее все начинается сначала.

Ниже приведена география распределения вредоносных хостингов, занимающихся распространением финансовых зловредов, в первом квартале 2010 года (таблица 2).

Таблица 2. 10 стран, с ресурсов которых наиболее часто загружаются финансовые зловреды.
Данные получены через Kaspersky Security Network (KSN).

Заключение

Мы описали некоторые трудности, с которыми сталкиваются антивирусные компании и финансовые организации в борьбе с киберпреступниками, промышляющими кражей денег у клиентов онлайн-банкинга. Был рассмотрен один из возможных путей выхода из ситуации.

Предложенное решение может быть применено не только в онлайн-банкинге. Так же эффективно можно отслеживать атаки на пользователей онлайн-игр, систем электронных денег и обменников (заметим, что такие атаки регистрируются заметно чаще, чем атаки на системы онлайн-банкинга).

Ну и безусловно стоит сказать о государственной политике в этой области – без помощи со стороны государства вся борьба с киберкриминалом будет вестись лишь с переменным успехом. Пока не будет механизмов оперативной коммуникации госслужб, проблема будет оставаться нерешенной.