Напомним, что на уровне исходного кода веб-приложение может содержать множество критически опасных уязвимостей. Количество этих уязвимостей можно минимизировать, если при разработке приложения придерживаться практик безопасного программирования (SSDLC). А для своевременного выявления уязвимостей в коде необходимо проводить регулярные проверки качества кода, например путем его анализа методом белого ящика (в том числе — с использованием автоматизированных средств).
Елена КРОШЕВА, Дмитрий Остапович "Агенство безопасности бизнеса"
Анализ явления
Кроме того, в каждом втором онлайн-банке собственной разработки использовалось устаревшее ПО. Например, в одном анализируемом приложении использовался устаревший фреймворк PrimeFaces 5.3.x с уязвимостью, позволявшей нарушителю удаленно выполнять произвольный код в системе.
Злоумышленник имел возможность загрузить на сервер произвольный файл, в том числе веб-интерпретатор командной строки, и проводить атаки с целью повышения привилегий. А в случае избыточности привилегий приложения либо в результате эксплуатации уязвимостей ОС злоумышленник мог получить полный контроль над сервером.
Перечень наиболее распространенных уязвимостей год от года меняется незначительно. Несмотря на постоянное упоминание, одни и те же уязвимости занимают лидирующие позиции в наших отчетах. Однако в 2016 году на первые строчки рейтинга поднялись уязвимости высокого уровня риска, хотя прежде первые места занимали уязвимости низкого уровня риска.
Уязвимости приложений финансовой отрасли
Во всех онлайн-банках присутствовали уязвимости среднего уровня риска. Такие уязвимости, как «Недостаточная защита сессий» и «Межсайтовое выполнение сценариев», позволяют совершать атаки на клиентов банков (например, перехватывать значения Cookie или похищать учетные данные). Они вошли в топ-10 самых распространенных уязвимостей в этом году для всех веб-приложений, а не только для онлайн-банков, что было наглядно продемонстрировано в нашем исследовании уязвимостей веб-приложений.
Некорректная реализация механизма CAPTCHA равносильна отсутствию данного механизма и позволяет злоумышленнику осуществить атаку, направленную на подбор учетных данных пользователей. Для всех финансовых приложений был отмечен рост числа критически опасных уязвимостей, связанных с недостатками механизмов аутентификации.
Особенно заметно это в части онлайн-банков, при анализе защищенности которых было установлено, что 71% приложений имеют недостатки в реализации двухфакторной аутентификации.
Недостатки реализации двухфакторной аутентификации
Мы уже отмечали, что данная проблема стала наиболее распространенной среди всех недостатков механизмов аутентификации, но доля уязвимых систем тогда составила лишь 33% в системах ДБО, поставляемых вендорами, и 45% в системах собственной разработки банков. Среди недостатков реализации двухфакторной аутентификации (помимо ее отсутствия) можно отметить следующие:
генерация одноразового пароля на стороне клиента;
одноразовый пароль не привязан к совершаемой операции;
отсутствие ограничения по числу попыток ввода одноразового пароля;
отсутствие ограничения на время жизни одноразового пароля.
Когда второй фактор аутентификации (обычно в онлайн-банках это одноразовый код, присылаемый на телефон) отсутствует или реализован некорректно, злоумышленник, получивший (подсмотревший, подобравший) логин и пароль от личного кабинета пользователя, получает доступ к его счетам и может проводить финансовые операции.
Недостаточная защита от подбора аутентификационных данных Больше половины финансовых веб-приложений не обеспечивают достаточную защиту от подбора аутентификационных данных (идентификаторов и паролей пользователей).
Среди недостатков данного типа можно выделить:
1. Использование предсказуемых идентификаторов, таких как номер мобильного телефона;
2. Использование предсказуемых паролей для входа в систему, таких как дата рождения пользователя, назначенных по умолчанию и без возможности смены;
3. Отсутствие либо возможность обхода механизма CAPTCHA;
4. Отсутствие временной блокировки учетных записей после нескольких неудачных попыток ввода учетных данных.
Защита аутентификационных данных пользователей должна быть первоочередной мерой по обеспечению безопасности приложения.
Двухфакторная аутентификация при входе в личный кабинет присутствовала лишь в 71% финансовых веб-приложений, а подтверждение транзакций одноразовым паролем требовалось и вовсе только в половине систем.
Недостаточная авторизация
Высокой остается доля приложений, в которых некорректно реализованы механизмы авторизации и разграничения доступа к чувствительной информации (57%). В результате эксплуатации этой уязвимости злоумышленник может проводить атаки на клиентов банков и получать несанкционированный доступ к информации, в том числе составляющей банковскую тайну.
Так, в одном из онлайн-банков нарушитель мог узнать график платежей по кредиту, а в другом — остаток денежных средств на счетах других пользователей.Нарушение логики работыОшибки, допущенные при проектировании приложения, привели к тому, что в каждом третьем онлайн-банке злоумышленник может провести атаки на логику работы. Довольно распространенной является проблема, связанная с округлением при переводе денежных средств между счетами.
Например, при переводе с одного счета на другой 1,0009 рубля происходит неверная конвертация в пользу клиента и на счет поступает 1,001 рубля. Конечно, много на таком переводе не заработать, но и транзакцию такую можно провести не один раз. Угрозы информационной безопасности онлайн-банков Выявленные уязвимости в веб-приложениях могут нести значительные репутационные и финансовые потери для банков и их клиентов.
Эксплуатация уязвимостей может привести к таким ощутимым последствиям, как, например, кража денежных средств в результате проведения мошеннических операций в 33% веб-приложений. В 27% веб-приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну, на уровне отдельных клиентов, например к информации об остатках денежных средств на счетах, о графиках платежей по кредитам.
В 25% исследуемых онлайн-банков одновременно присутствовали и уязвимости, связанные с недостаточной защитой от подбора аутентификационных данных, и недостатки реализации двухфакторной аутентификации. Это значит, что почти в каждом четвертом онлайн-банке злоумышленник мог получить полный контроль над счетами клиентов. Доля мобильных банков по максимальному уровню риска уязвимостей Уровень риска выявленных уязвимостей.
Уязвимости и угрозы мобильных банков
Для всех рассмотренных мобильных банков мы анализировали по два идентичных приложения, разработанных для разных операционных систем — Android и iOS. В некоторых случаях приложение для iOS не содержало уязвимостей, которые были обнаружены в Android-приложении. Все серверные части мобильных банков содержали критически опасные уязвимости. В каждой из них находились уязвимости, связанные с недостатками авторизации, аутентификации (в том числе двухфакторной).
Примечательно, что в мобильных приложениях, построенных на готовых решениях вендоров, не выявили ни одной уязвимости, связанной с недостатками конфигурации. Топ-10 уязвимостей клиентских частей мобильных банков. В последние несколько лет в СМИ регулярно появляются заголовки о новых ограблениях банков. Фигурирующие в них названия преступных группировок обычно известны каждому специалисту по безопасности, а на счету некоторых из этих преступников целый ряд многомиллионных краж.
Высокие гонорары и относительно низкий на сегодняшний день риск обнаружения способствуют активному развитию киберпреступности: несмотря на то, что отдельные группировки прекращают свою деятельность, а их участники задерживаются правоохранительными органами, на их место приходят другие, использующие более совершенные техники атак.
Преступники быстро адаптируются к меняющейся среде, неустанно следят за публикациями о новых уязвимостях и успевают эксплуатировать их гораздо быстрее, чем службы безопасности банков установят соответствующие обновления. На подпольных форумах в интернете любой желающий может свободно приобрести ПО для проведения атаки с подробными инструкциями по его использованию, заручиться поддержкой недобросовестных сотрудников банков и преступных сообществ, специализирующихся на отмывании незаконно полученных денег.
Складывается ситуация, при которой злоумышленник, обладающий минимальными техническими знаниями, может похитить миллионы долларов, проникнув в сеть банка, которая, казалось бы, должна иметь высокий уровень защиты.
Как на самом деле обстоит ситуация с информационной безопасностью в банковской отрасли?
Как хакерам удается обойти существующие системы защиты, какие недостатки в механизмах безопасности позволяют им прочно закрепиться в инфраструктуре банка и проводить мошеннические операции, до последнего момента оставаясь незамеченными службой безопасности?
Как грабят банки сегодня?
По оценкам Сбербанка РФ, ежегодные убытки от кибератак в России уже составляют около 600 миллиардов рублей, а во всем мире эта сумма приближается к триллиону долларов США. Мы наблюдаем атаки на системы межбанковских переводов, карточный процессинг, управление банкоматами, интернет-банкинг, платежные шлюзы. Выбор целей достаточно широк: при наличии должных знаний и технических средств доступ к таким системам может принести злоумышленникам более весомое вознаграждение, чем мошенничество в отношении клиентов банка.
Для хищения денежных средств преступникам требуется проникнуть в инфраструктуру банка, безопасность которой обязана находиться на высоком уровне, но, как мы видим, преступникам удается обходить все механизмы защиты, а в СМИ продолжают появляться публикации о новых кибератаках и новых хищениях из банков. Волна атак на карточный процессинг прокатилась года в ряде восточноевропейских стран.
Проникая в банковскую инфраструктуру, преступники могли получить доступ к системам карточного процессинга с последующим увеличением лимита овердрафта карт. Также преступники отключали антифрод-системы, которые оповещают банк о мошеннических операциях. Их сообщники в ту же минуты снимали наличные из банкоматов другой страны.
Дропы, которые были ответственны за снятие наличных, заранее по поддельным документам приобретали карты и выезжали за пределы страны, где располагался банк-жертва. В среднем сумма хищения составляла в каждом случае около 5 млн. долларов США. Двумя годами раньше аналогичную тактику применяла группировка Metel.
Проникнув в инфраструктуру банка, преступники смогли отменять операции по картам и возвращать первоначальный баланс. В это же время их сообщники похищали миллионы рублей, переходя от одного банкомата к другому. Осенью минувшего года преступники атаковали Банк Тайваня, совершив при этом переводы на счета в США, Камбодже и Шри-Ланке.
Пока работа банковской системы в Непале была приостановлена на праздники, преступники вывели крупные денежные средства через систему переводов SWIFT. Только благодаря своевременному реагированию, банкам удалось отследить преступные транзакции и вернуть большую часть похищенных средств. В начале декабря в различных источниках появилась информация о группировке MoneyTaker, которая в течение полутора лет атаковала финансовые организации США и России.
Злоумышленники проводили массовые атаки на системы карточного процессинга и межбанковских переводов. При этом, средняя сумма хищения в США составляла 500 тысяч долларов. В России же она варьировалась от 72 млн. рублей. В декабре минувшего года появилась информация о первых успешных атаках на систему SWIFT в банке России. Жертвой злоумышленников стал банк «Глобэкс».
Подозревается в преступлении хакерская группировка Cobalt, основная специализация которой – кибератаки на банки. Если же рассматривать конкретную активность преступных группировок за последние три года, наиболее заметными среди них становятся группировки Cobalt, Carbanak, Lazarus и Lurk.
Первая из них широко известна своими атаками на банковские организации Восточной Европы, СНГ и стран Юго-Восточной Азии. Однако в 2017 году список регионов значительно возрос: атаки были зафиксированы в странах западной Европы, Южной и Северной Америки. Большая часть финансовых организаций приходится на банки, одна в число их также входят фондовые биржи, инвестиционные фонды и прочие специализированные кредитно-финансовые организации.
Целью злоумышленников в банках является получение доступа к управлению банкоматами. Отправляя команды на выдачу наличных средств в установленное время, преступники без физического вмешательства забирают из банкомата все его содержимое. По предварительным оценкам Центробанка России, в минувшем году российские банки смогли потерять более 1, 1 млрд. рублей в результате действия злоумышленников.
Не менее известной стала и группировка Lazarus, которая совершила одно из наиболее громких ограблений посредством системы SWIFT. В 2016 году преступники попытались вывести 1 млрд. долларов из Центробанка Бангладеш, однако вследствие ошибки в платежном документе, смогли похитить только 81 млн.
Отличительная черта злоумышленников – это их широкая специализация: они могли похищать деньги из любых систем, к которым получали доступ, эксплуатируя при этом исключительно недостатки корпоративной незащищенности сетей. Общая сумма похищенного превышает миллиард американских долларов. Хорошо знаком специалистам по информационной безопасности и троян Lurk, который применялся на протяжении нескольких лет для атак на системы ДБО.
Арестованы были члены преступной группировки в 2016 году. По мнению специалистов, хакеры вывели в общей сложности более 3 миллиардов рублей из банков. Типовая методика атаки: Выбор целей преступников во многом обусловлен технической подготовкой, а также базовыми инструментами и знаниями о внутренних банковских процессах, которые имеются в наличии у преступников. Каждая атака обладает собственными особенностями – в частности, действия злоумышленников различаются на этапе вывода финансовых средств.
Однако присутствуют и общие черты.
Действуют злоумышленники по достаточно простым сценариям, которые состоят из пяти основных этапов:
1. Подготовительные работы и предварительная разведкаПроникновение во внутреннюю сеть
2. Развитие атаки и закрепление во внутренней сети
3. Компрометация систем банка и последующее хищение средств
4. Сокрытие следов.
Этап 1. Разведка и подготовка.
Первый этап является достаточно трудоемким и длительным: перед злоумышленниками поставлена задача - собрать максимальное количество информации о банке, которая позволяет преодолевать системы защиты и провести предварительную организационную работу с учетом специфики атакуемого банка. Поскольку сканирование внешних ресурсов не выявляется системами защиты, для того, чтобы на начальном этапе не раскрыть себя, преступники могут прибегать к пассивным методикам получения информации.
К примеру, для выявления адресов и доменных имен, принадлежащих банку. Также нередко для разведки могут применяться данные недобросовестных сотрудников банковских организаций, которые готовы поделиться информацией за вознаграждение: большое количество объявлений об этом можно отыскать на профильных форумах интернета.
Злоумышленники собирают информацию о банке:
1. Сведения о применяемом ПО и системах сетевого периметра;
2. Сведения о сотрудниках в виде электронных адресов, ФИО, должностей и тд;
3. Контрагентах и партнерах, их сотрудниках и системах;
4. Проходящих в компании бизнес-процессах.
Для построения профильной инфраструктуры и подготовки документов атакующие могут как применять собственные знания, так и нанимать сторонних исполнителей для этого. Помимо этого, могут приобретаться уже готовые инструменты с последующей их адаптацией под конкретные локальные задачи. Если выводить полученные средства через банкоматы не требуется, для крупных операций могут потребоваться связи с преступными группировками для отмывания полученных денег.
Этап 2. Проникновение во внутренние сети организации. После того, как жертва всесторонне изучена и проведена предварительная подготовка к атаке, преступники переходят в наступление. Средние и крупные банки на сегодняшний день уделяют большое количество внимания защите собственного сетевого периметра, поэтому организация атаки на веб-приложения или серверы является не только достаточно сложной технически, но и весьма рискованной – поскольку высока вероятность обнаружения преступниками себя.
При этом, наиболее эффективным и распространенным методом проникновения в банковскую инфраструктуру является фишинговая рассылка электронных писем в адрес банковских сотрудников, которая может осуществляться как на рабочие, так и на личные адреса. Применяется подобная методика, к примеру, группировкой Cobalt.
Иным вариантом первичного распространения вредоносных программных компонентов является взлом сторонних организаций, которые пока что не настолько серьезно относятся к защите собственных ресурсов. При этом, происходит заражение сайтов часто посещаемых сотрудниками целевых банков, как это можно было наблюдать в случаях с Lazarus и Lurk.
Закрепление в сети и развитие атаки
После того, как преступники получили доступ к локальной банковской сети, им надо получить привилегии локальных администраторов на серверах и компьютерах сотрудников для будущего развития атаки.
Успешность атак при этом обусловлена не только недостаточным уровнем защищенности систем от внутренних нарушителей, но и применением наиболее распространенных уязвимостей:
а/использование устаревших версий программного обеспечения и отсутствие актуальных обновлений безопасности для операционной системы;
б/многочисленные ошибки конфигурации (в том числе, избыточные привилегии ПО и пользователей, а также установка паролей локальных администраторов посредством групповых политик);
в/применение привилегированными пользователями словарных паролей. отсутствие двухфакторной аутентификации в качестве системы доступа к критически важным системам.
После того, как максимальные привилегии в ОС на узле преступники получают данные всех пользователей из памяти ОС, преступники получают из оперативной памяти данные всех подключавшихся к ней пользователей. Эти данные могут применяться для подключения к прочим компьютерам в сети. Как правило, перемещение между узлами осуществляется посредством легитимного ПО и встроенных функций операционной системы.
Также злоумышленники могут прибегать к фишинговым рассылкам внутри банковской организации, отправляя письма от имени истинных сотрудников с их рабочих станций. Привилегии лояльных администраторов применяются уже по классической схеме, когда злоумышленники копируют память процесса lsass.exe и применяют его для извлечения паролей пользователей ОС при помощи утилиты mimikatz.
Подобные действия не детектируются антивирусными средствами, так как для копирования памяти используются легитимные инструменты, например procdump, а сама утилита mimikatz запускается на ноутбуке злоумышленника.
Кроме того, злоумышленники могут использовать Responder для атак на служебные протоколы с целью перехвата учетных данных. Более подробно такие методы распространения в сети описаны в нашем отдельном исследовании. Если злоумышленникам удастся получить привилегии администратора домена, они смогут в дальнейшем беспрепятственно перемещаться по сети, контролировать компьютеры сотрудников, серверы и службы инфраструктуры банка.
Обладая таким уровнем привилегий, получить доступ к бизнес-системам организации и специализированному банковскому ПО становится очень просто, для этого достаточно определить рабочие станции сотрудников, которые таким доступом обладают, и подключиться к ним. Используя технику golden ticket, злоумышленники могут надежно закрепиться в корпоративной системе на длительное время.
Чтобы скрыть свое присутствие, злоумышленники часто используют бестелесный вредоносный код, который выполняется только в оперативной памяти, а для сохранения канала удаленного управления после перезагрузки компьютера добавляют ВПО в автозагрузку ОС.
Этап 4. Компрометация банковских систем и хищение денег
Закрепившись в сети, преступники должны понять, на каких узлах находятся искомые банковские системы и как будет удобнее получить к ним доступ. Преступники исследуют рабочие станции пользователей в поисках файлов, указывающих на то, что с данной рабочей станции осуществляется работа с банковскими приложениями. Для хранения паролей к критически важным системам в корпоративных сетях обычно используется специальное ПО.
Нарушитель с привилегиями локального администратора ОС может скопировать дамп памяти этого процесса, извлечь пароли для доступа к приложению или зашифрованным базам, а затем получить в открытом виде пароли для доступа ко всем критически важным системам банка — АБС, SWIFT, рабочим станциям для управления банкоматами.
Такой сценарий атаки весьма эффективен и неоднократно применялся в ходе тестирования на проникновение. Дополнительную помощь преступникам могут оказать ресурсы, которые содержат информацию об инфраструктуре, например системы мониторинга, которые используют в своей работе администраторы, или ресурсы технической поддержки пользователей.
Используя полученные данные, нарушители будут более уверенно ориентироваться в структуре внутренней сети и смогут учесть особенности бизнес-процессов банка при проведении атаки, чтобы не вызвать подозрений у службы безопасности и срабатывания систем выявления атак.
Этап 4. Компрометация банковских систем и хищение денег
Преступники могут находиться в инфраструктуре банка долго, оставаясь незамеченными, собирать информацию об инфраструктуре и процессах, не спеша изучать выбранные для проведения атак системы и наблюдать за действиями сотрудников. Это означает, что кражу денег можно предотвратить, если вовремя выявить факт компрометации, даже в том случае, когда преступники уже проникли и закрепились в сети банка.
Основными способами хищений являются:перевод средств на подставные счета через системы межбанковских платежей;перевод денежных средств на криптовалютные кошельки;управление банковскими картами и счетами;управление выдачей наличных средств в банкоматах.С целью затруднить расследование инцидента преступники принимают меры для уничтожения следов пребывания в системе.
Несмотря на то, что злоумышленники переключаются на использование скриптов, выполняющихся в оперативной памяти, в системе остаются признаки их присутствия: записи в журналах событий, изменения в реестре и другие зацепки. Поэтому неудивительно, что некоторые нарушители предпочитают обезопасить себя насколько это возможно и не просто удаляют отдельные следы, а полностью выводят из строя узлы сети, стирая загрузочные записи и таблицы разделов жестких дисков.
Волна атак вирусов-шифровальщиков была превосходным примером того, как легко могут быть уничтожены данные крупной компании, и теперь арсеналы хакеров пополняются модификациями вирусов, которые распространяются по рабочим станциям сети и шифруют содержимое жестких дисков. Поскольку восстановить зашифрованные данные в большинстве случаев не представляется возможным, банк несет ущерб, вызванный вынужденным простоем бизнес-процессов, который может оказаться гораздо значительнее ущерба непосредственно от хищения денежных средств.
Так как к заключительному моменту атаки преступники с высокой долей вероятности обладают максимальными привилегиями в системе и досконально изучили ее, остановить их действия на этом этапе уже вряд ли удастся. Тестирование на проникновение проводится для оценки реального уровня защищенности организации, при этом моделируются действия потенциального нарушителя.
В зависимости от исходного уровня привилегий нарушителя различают внешнее тестирование, в рамках которого проверяется возможность преодоления сетевого периметра, и внутреннее, целью которого является получение полного контроля над инфраструктурой или доступ к критически важным системам. Ежегодно мы проводим десятки работ по тестированию на проникновение в различных организациях.
Для этого исследования мы выбрали 12 наиболее информативных проектов, выполненных нами в банках за последние три года, в ходе которых накладывались минимальные ограничения на действия экспертов.
Уязвимости сетевого периметра
Основные уязвимости и недостатки механизмов защиты, которые распространены на сетевом периметре банков, можно разделить на четыре категории: уязвимости веб-приложений, недостаточная сетевая безопасность, недостатки конфигурации серверов и недостатки управления учетными записями и паролями.
В 100% банков выявлены:
1. Уязвимости веб-приложений;
2. Недостатки сетевой безопасности;
3. Недостатки конфигурации серверов.
В 58% банков выявлены недостатки управления учетными записями и паролями. Следует учитывать, что наличие уязвимостей на периметре системы еще не означает, что их эксплуатация позволит проникнуть во внутреннюю сеть. В целом уровень защиты сетевого периметра в банковской сфере значительно выше, чем в остальных компаниях.
За три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Во всех случаях получению доступа способствовали уязвимости в веб-приложениях, причем злоумышленнику потребовался бы всего один шаг для достижения цели.
В одном банке было выявлено два вектора проникновения, причем оба заключались в эксплуатации уязвимостей веб-приложения и недостатков конфигурации веб-сервера.
Следовательно, преступные группировки, планирующие проникнуть во внутреннюю сеть банка путем эксплуатации уязвимостей на сетевом периметре, смогли бы достичь цели в 22% банков. Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.
На внешнем периметре сети наблюдаются и недостатки, связанные с сетевой безопасностью. Наибольшую опасность представляют интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю.
Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети в 58% банков, а также протоколы доступа к файловым серверам (в 42% банков). Изучив с помощью Shodan сервисы, доступные на периметре ста наиболее крупных банков, и сопоставив их с собственной базой уязвимостей, в 22% банков удалось преодолеть сетевой периметр в рамках внешнего тестирования на проникновение.
Десятка самых распространенных уязвимостей на сетевом периметре (доля банков):
1. Межсайтовое выполнение сценариев.
2. Внедрение внешних сущностей XML.
3. Загрузка произвольных файлов.
4. Внедрение SQL-кода.
5. Anti DNS Pinning.
6. Интерфейсы удаленного доступа и управления.
7. Использование открытых протоколов передачи данных.
8. Хранение чувствительных данных в открытом виде.
9. Использование устаревшего ПО.
10. Использование словарных паролей.
11. Уязвимости веб-приложений.
12. Недостатки управления сетевой безопасностью.
13. Недостатки управления учетными записями и паролями.
14. Недостатки конфигурации серверов.
Атаки на банки
Эксперты установили, что около 5% сервисов потенциально уязвимы.
Наличие потенциально опасного сервиса еще не означает, что уязвимости действительно можно эксплуатировать, тем не менее, даже один уязвимый ресурс может позволить злоумышленнику провести успешную атаку. Так, 75% банков уязвимы к атакам методами социальной инженерии.
Как мы уже отметили, большинство банков имеет достаточно высокий уровень защиты сетевого периметра, но персонал обычно является самым уязвимым звеном в системе защиты любой организации. В ходе оценки осведомленности в 75% банков сотрудники переходили по ссылке, указанной в фишинговом письме, в 25% банков сотрудники вводили свои учетные данные в ложную форму аутентификации, и еще в 25% банков хотя бы один сотрудник запускал на своем рабочем компьютере вредоносное вложение.
В среднем в банках по фишинговой ссылке переходили около 8% пользователей, 2% запускали вложенный файл, но свои учетные данные вводили менее 1% пользователей. Хотя уровень осведомленности в вопросах ИБ среди банковских сотрудников все же выше, чем в других отраслях, достаточно, чтобы всего один пользователь выполнил нежелательное действие, — и нарушитель получит доступ к корпоративной сети.
Таким образом, три четверти банков уязвимы к атакам методами социальной инженерии, которые используются для преодоления периметра практически каждой преступной группировкой, в том числе группировками Cobalt, Lazarus, Carbanak.
Регулярное проведение тренингов по безопасности с контрольной проверкой уровня осведомленности приносит отличные результаты. В этом плане показателен пример одного банка. В ходе работ по оценке осведомленности в вопросах ИБ часть пользователей ввела свои учетные данные в фишинговую форму аутентификации: таким образом, преступники могли бы получить данные для доступа к ресурсам банка.
Через год ситуация изменилась кардинально: учетные данные не ввел ни один сотрудник.Уязвимости внутренней сетиВ то время как банки сосредоточены на защите сетевого периметра, безопасность внутренней сети далека от совершенства, здесь встречаются все те же проблемы, что и во внутренних сетях других компаний. Полный контроль над инфраструктурой был получен во всех исследуемых банках.
При этом в 33% банков, даже не обладая максимальными привилегиями в системе, возможно получить доступ к узлам, с которых осуществляется управление банкоматами, доступ к системам межбанковских переводов, карточному процессингу, платежным шлюзам. Какие недостатки безопасности позволяют злоумышленникам развивать атаку вглубь банковской инфраструктуры?
На рисунке ниже представлены уязвимости, эксплуатация которых способствовала получению полного контроля над доменной инфраструктурой в ходе работ по внутреннему тестированию на проникновение.
В 100% банков получен полный контроль над инфраструктурой.
Наиболее распространенные уязвимости во внутренней сети (доля банков):
1. Компоненты внутренней сети, для которых используются словарные пароли (доля банков).
2. Хранение паролей администраторов в групповых политикахУязвимости веб-приложений;
3. Избыточные привилегии приложений;
4. Возможность подключения к ЛВС стороннего оборудования без авторизации;
5. Использование одинаковых учетных данных для доступа к разным ресурсам
6. Хранение чувствительных данных в открытом виде
7. Недостаточная защита служебных протоколов от атак
8. Недостаточная защита от восстановления учетных данных из памяти ОС
9. Использование словарных паролей
10. Уязвимости веб-приложений
11. Недостатки управления сетевой безопасностью
12. Недостатки управления учетными записями и паролями
13. Недостатки конфигурации серверов и рабочих станций
Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС. Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система, и в этом отношении банки не отличаются от любой другой компании.
Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей.
Приложения зачастую либо обладают избыточным привилегиями, либо содержат известные уязвимости, и в результате у злоумышленников появляется возможность получить административные права на узле всего в один-два шага.
В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres). Недостаточные меры безопасности, а нередко и полное их отсутствие наблюдаются в отношении защиты служебных протоколов.
Защита от атак на протокол NBNS отсутствовала в каждом исследованном банке, а защита от атак на протокол LLMNR — в 70% банков. Атакам ARP Poisoning оказались подвержены 80% банков. В то же время перехват учетных данных, передаваемых по сети, может вполне успешно применяться нарушителями в процессе сбора сведений о системе.
Например, в ряде банков в рамках тестирования на проникновение удалось перехватить несколько NetNTLMv2-хеш-сумм паролей пользователей домена в формате Challenge-Response. Затем по этим суммам методом перебора были подобраны пароли доменных учетных записей. На этапе распространения и закрепления в сети действия злоумышленников достаточно схожи, потому что они эксплуатируют недостатки защищенности, характерные для любой корпоративной системы.
Исходя из приведенных результатов, мы предполагаем, что любая преступная группировка смогла бы получить полный контроль над доменной инфраструктурой в каждом из исследованных банков. Поэтому, хотя банки достаточно хорошо защищены извне, злоумышленник с высокой долей вероятности сможет успешно атаковать банковские системы при наличии доступа ко внутренней сети.
Такой доступ можно получить разными путями; к примеру, участник преступной группы может устроиться на работу в банк в качестве сотрудника, обладающего только физическим доступом к сетевым розеткам или с минимальным уровнем привилегий в сети (уборщик, охранник). Получить доступ к банковским приложениям удалось в 58% банков. Необходимо учитывать, что во всех остальных банках развитие атаки на критически важные узлы не проводилось, учитывая заданные границы работ.
Тем не менее, привилегии администратора домена позволили бы злоумышленнику прочно закрепиться в системе и осуществлять атаки на целевые ресурсы. Уязвимости, использовавшиеся для доступа к банковскому ПО:
Недостаточная защита привилегированной записи root
Использование устаревшего ПО
Использование одинаковых учетных данных для доступа к различным ресурсам
Хранение учетных данных в исходном коде приложения
Использование обратимого кодирования
Внедрение SQL-кода
Хранение чувствительных данных в открытом виде
Использование словарных паролейНедостаточная защита от восстановления учетных данных из памяти ОСВ 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогла бы вывести деньги группировка Cobalt. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены Lazarus и MoneyTaker, было бы возможно в 17% банков.
В 17% банков недостаточно защищены системы карточного процессинга, позволяющие манипулировать балансом на карточных счетах злоумышленников, как мы это видели в начале минувшего года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства из всех 58% банков.
В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам. На сегодняшний день банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако основная проблема состоит в том, что они не готовы противостоять нарушителю во внутренней сети. Зная это, злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть.
Преступники внимательно следят за публикацией новых уязвимостей и быстро модифицируют свои инструменты. Внутри сети злоумышленники свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов.
Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.
Вместо заключения:
Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты. Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей.
Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них. Для этого необходим постоянный мониторинг событий безопасности силами внутреннего или внешнего подразделения SOC, а также наличие SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий информационной безопасности.
Чтобы эффективно противостоять активно развивающейся киберпреступности, важно не скрывать произошедшие инциденты, а участвовать в обмене информацией об атаках внутри отрасли, чтобы вовремя узнавать об индикаторах компрометации и сообщать о них другим.