seerozha (seerozha) wrote,
seerozha
seerozha

ИТ: Несанкционированные платежи "банк-клиент"

Если, проживая в криминально-опасном районе, выставить в форточку голую задницу - рано или поздно она обязательно пострадает.

Отчет по несанкционированному платежу в системе «банк-клиент»
           
Проблема:
            В понедельник, 24.10.2011, сотрудники ИМЯ_БАНКА попросили уточнить детали одного из прошедших от имени Организации электронных платежей, проведенного в пятницу, 21.10.2011 в 17.52 с расчетного счета Организации ИМЯ_БАНКА на лицевой счет физического лица в Поволжском филиале СБ РФ  (конкретно - предоставить исполнительный лист по уплате алиментов согласно произведенному платежу).
            После проверки исходящих платежей сотрудники Организации обнаружили, что платеж осуществлен без участия оператора, т.е. не санкционировано.
           
Конфигурация компьютера и сетевого окружения:
            Компьютер, с которого осуществляются платежи в ИМЯ_БАНКА, является рабочим местом бухгалтера организации и расположен в отдельном кабинете (больше в кабинете компьютеров и рабочих мест нет). Пароль на вход в BIOS не установлен, USB-порты включены. Компьютер включен в домен, бухгалтер имеет свою доменную учетную запись (ИМЯ_ДОМЕНА\имя_пользователя), пароль сложный. Учетная запись бухгалтера входит в локальную группу «Администраторы», т.е. имеет на локальном компьютеры полные привилегии. Кроме нее административные привилегии на ПК (как администраторы домена) имеют также трое сотрудников технической службы.
            Компьютер по Ethernet включен в неуправляемый коммутатор (в него также включены еще несколько компьютеров сотрудников бухгалтерии), далее через два управляемых коммутатора D-Link – в маршрутизатор Cisco 3745. К управляемым коммутаторам имеют доступ не менее трех сотрудников технической службы.
            IP-адрес компьютера назначен вручную, хотя в сети функционирует DHCP-сервер, выдающий IP-адреса любому подключенному устройству.
            Выход в Интернет реализован через NAT, IP-адресация является «серой» - т.е. все компьютеры офиса выходят в Интернет от имени внешнего IP-адреса маршрутизатора. Фильтрация пользовательского трафика не производится (доступны любые внешние сервисы/протоколы), прокси-сервер отсутствует, дифференцированный учет трафика внутренних пользователей (биллинг) не производится. Для обмена электронной почтой используется собственный почтовый сервер (зона ИМЯ_DNS_ЗОНЫ), письма проходят антивирусную фильтрацию, однако прием/отправка почты со сторонних почтовых серверов не запрещена.  
Информация по сетевой структуре, находящейся за пределами комнаты, приведена со слов сотрудников технической службы.
            На компьютере обнаружено следующее ПО:
- операционная система Windows XP Pro SP3 OEM, платная, лицензионная наклейка на корпусе имеется, со слов ИМЯ_ОТВЕТСТВЕННОГО_ЛИЦА - наличие бухгалтерских документов (счет-фактура и накладная) уточняется; замечание – менялось наименование юридического лица, возможно, документы имеются на «старое» юрлицо;
- офисный пакет OpenOffice, Open Source, бесплатный в т.ч. для коммерческого использования;
- система сдачи отчетности в электронной форме «Контур-Экстерн» (http://www.kontur-extern.ru/), бесплатная, дистрибутивы имеются;
- архиватор 7-ZIP, Open Source, бесплатный в т.ч. для коммерческого использования;
- средства обмена мгновенными сообщениями QIP, QIP Infinum, ICQ, freeware, бесплатны в т.ч. для коммерческого использования;
- демо-версия информационно-правовой системы «Консультант Плюс»;
- система электронных платежей ИМЯ_БАНКА АБС CFTBank (http://www.cft.ru/).
- система 1С 7.7 (файловая версия), платная, лицензионная, со слов директора - наличие бухгалтерских документов (счет-фактура и накладная) уточняется; замечание – менялось наименование юридического лица, возможно, документы имеются только на «старое» юрлицо.
            Установлено свободно распространяемое антивирусное ПО Microsoft Essentials (обновление баз – один раз в неделю).
 
                Выяснение причин:
            Установлено, что для осуществления электронных платежей в ИМЯ_БАНКА используется ПО сторонней разработки – АБС CFTBank. Для осуществления платежа необходим ключ (сохраняется в реестре) и пин-код (со слов директора – хранится только в голове бухгалтера и никуда не записан, бумажек/надписей с кодом вблизи ПК не обнаружено)
            Платежи осуществляются по следующей схеме – сначала платежные документы готовятся в 1С, затем в текстовом виде выгружаются в определенный каталог (ПУТЬ_К_КАТАЛОГУ) в формате нешифрованного текстового файла.
            Затем при запуске АБС CFTBank происходит автоматическая загрузка информации о платежах, после ввода pin-кода – производится платеж.
            При исследовании компьютера обнаружены следующие факты:
- утром 21.10.2011 при явном переходе пользователя по ссылке (канал получения – электронная почта, браузер или ICQ – установить возможным не представляется) ПК был инфицирован модификацией вируса Trojan.Win32.Antavmu (время создания файла с инсталлятором вируса во временной директории пользователя – 9.45 21.10.2011);
- учитывая отсутствие нормальной антивирусной программы, и в связи с принадлежностью пользователя к группе «Администраторы» вирус успешно инсталлировался в систему с правами администратора, добавил необходимые для автозапуска ключи в реестр, и создал необходимые файлы (и ключи, и файлы обнаружены), и (предположительно) через Интернет сообщил своему владельцу о факте установки;
- несколько позже (время создания файла – 10.52 21.10.2011) в систему было установлено средство удаленного доступа BeTwin Terminal Services (позволяет организовать удаленный многопользовательский доступ к компьютеру незаметно для работающего за консолью пользователя), а также перехватчик клавиатурных нажатий/keylogger Mipko Personal Monitor;
- в дальнейшем злоумышленник с помощью keylogger получил (скорее всего – по электронной почте) введенный в окне бухгалтером при предыдущем платеже pin-код, с использованием средства удаленного администрирования незаметно для находящегося на рабочем месте пользователя подключился к ПК, сформировал текстовый файл с данными на не санкционированный платеж, поместил его в соответствующий каталог (ПУТЬ_К_КАТАЛОГУ) и, зная pin-код, произвел оплату; с точки зрения банка и ПО все эти действия являлись штатными – ключ в реестре есть, верный pin-код введен;
            Файлы всех указанных выше приложений, соответствующие ключи реестра и созданные злонамеренным ПО пользователи обнаружены в системе. Факт работы указанного ПО в системе достоверно выявлен как наличием соответствующих процессов, так и сообщениями в системных журналах Windows (уведомления об обращении к всплывающим окнам, и т.п.).
            В настоящее время компьютер выключен из локальной сети, ключ заблокирован со стороны ИМЯ_БАНКА.
            Никаких действий по удалению/модификации операционной системы, программного обеспечения и самого вируса не проводилось, чтобы не осложнять работу государственным экспертам.
 
            Рекомендации:
- проверить группы «Администратор» на всех ПК, исключить всех рядовых пользователей из этой группы;
- приобрести сертифицированный ФСТЭК антивирус (Kaspersky Business Space Security, DrWeb, NOD32), и установить на все имеющиеся ПК;
- внедрить прокси-сервер HTTP-трафика с антивирусной фильтрацией и журналированием проходящего трафика в обоих направлениях;
- внедрить дифференцированный учет трафика (в формате NetFlow) для абонентов внутренней офисной сети;
- запретить выдачу IP-адресов неизвестным устройствам в ЛВС;
- для пользователей, работающих с электронными средствами проведения платежей – создать отдельную групповую политику, разрешающую только запуск определенных приложений, а также фильтровать обращения к внешним сетям по принципу «белый список»;
- ввести должность «администратор по информационной безопасности»; в должностные обязанности выключить разработку и контроль выполнения мероприятий по обеспечению информационной безопасности Организации в соответствии с имеющейся нормативно-правовой документацией (98-ФЗ «О коммерческой тайне», 152-ФЗ «О персональных данных» и т.п.).
 
Примечания:
            Технический персонал Организации квалифицирован, однако какие-либо действия по обеспечению информационной безопасности не предпринимаются.
Описание вируса Trojan.Win32.Antavmu – http://www.securelist.com/ru/descriptions/10257627/Trojan.Win32.Antavmu.lch
Описание BeTwin Terminal Services - http://www.thinsoftinc.com/product_pc_sharing_betwin.aspx
Описание keylogger Mipko Personal  Keylogger
http://www.mipko.ru/personal-monitor/
Tags: ИБ, ИТ
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 10 comments