November 17th, 2011

окраина

ИТ: Несанкционированные платежи "банк-клиент"

Если, проживая в криминально-опасном районе, выставить в форточку голую задницу - рано или поздно она обязательно пострадает.

Отчет по несанкционированному платежу в системе «банк-клиент»
           
Проблема:
            В понедельник, 24.10.2011, сотрудники ИМЯ_БАНКА попросили уточнить детали одного из прошедших от имени Организации электронных платежей, проведенного в пятницу, 21.10.2011 в 17.52 с расчетного счета Организации ИМЯ_БАНКА на лицевой счет физического лица в Поволжском филиале СБ РФ  (конкретно - предоставить исполнительный лист по уплате алиментов согласно произведенному платежу).
            После проверки исходящих платежей сотрудники Организации обнаружили, что платеж осуществлен без участия оператора, т.е. не санкционировано.
           
Конфигурация компьютера и сетевого окружения:
            Компьютер, с которого осуществляются платежи в ИМЯ_БАНКА, является рабочим местом бухгалтера организации и расположен в отдельном кабинете (больше в кабинете компьютеров и рабочих мест нет). Пароль на вход в BIOS не установлен, USB-порты включены. Компьютер включен в домен, бухгалтер имеет свою доменную учетную запись (ИМЯ_ДОМЕНА\имя_пользователя), пароль сложный. Учетная запись бухгалтера входит в локальную группу «Администраторы», т.е. имеет на локальном компьютеры полные привилегии. Кроме нее административные привилегии на ПК (как администраторы домена) имеют также трое сотрудников технической службы.
            Компьютер по Ethernet включен в неуправляемый коммутатор (в него также включены еще несколько компьютеров сотрудников бухгалтерии), далее через два управляемых коммутатора D-Link – в маршрутизатор Cisco 3745. К управляемым коммутаторам имеют доступ не менее трех сотрудников технической службы.
            IP-адрес компьютера назначен вручную, хотя в сети функционирует DHCP-сервер, выдающий IP-адреса любому подключенному устройству.
            Выход в Интернет реализован через NAT, IP-адресация является «серой» - т.е. все компьютеры офиса выходят в Интернет от имени внешнего IP-адреса маршрутизатора. Фильтрация пользовательского трафика не производится (доступны любые внешние сервисы/протоколы), прокси-сервер отсутствует, дифференцированный учет трафика внутренних пользователей (биллинг) не производится. Для обмена электронной почтой используется собственный почтовый сервер (зона ИМЯ_DNS_ЗОНЫ), письма проходят антивирусную фильтрацию, однако прием/отправка почты со сторонних почтовых серверов не запрещена.  
Информация по сетевой структуре, находящейся за пределами комнаты, приведена со слов сотрудников технической службы.
            На компьютере обнаружено следующее ПО:
- операционная система Windows XP Pro SP3 OEM, платная, лицензионная наклейка на корпусе имеется, со слов ИМЯ_ОТВЕТСТВЕННОГО_ЛИЦА - наличие бухгалтерских документов (счет-фактура и накладная) уточняется; замечание – менялось наименование юридического лица, возможно, документы имеются на «старое» юрлицо;
- офисный пакет OpenOffice, Open Source, бесплатный в т.ч. для коммерческого использования;
- система сдачи отчетности в электронной форме «Контур-Экстерн» (http://www.kontur-extern.ru/), бесплатная, дистрибутивы имеются;
- архиватор 7-ZIP, Open Source, бесплатный в т.ч. для коммерческого использования;
- средства обмена мгновенными сообщениями QIP, QIP Infinum, ICQ, freeware, бесплатны в т.ч. для коммерческого использования;
- демо-версия информационно-правовой системы «Консультант Плюс»;
- система электронных платежей ИМЯ_БАНКА АБС CFTBank (http://www.cft.ru/).
- система 1С 7.7 (файловая версия), платная, лицензионная, со слов директора - наличие бухгалтерских документов (счет-фактура и накладная) уточняется; замечание – менялось наименование юридического лица, возможно, документы имеются только на «старое» юрлицо.
            Установлено свободно распространяемое антивирусное ПО Microsoft Essentials (обновление баз – один раз в неделю).
 
                Выяснение причин:
            Установлено, что для осуществления электронных платежей в ИМЯ_БАНКА используется ПО сторонней разработки – АБС CFTBank. Для осуществления платежа необходим ключ (сохраняется в реестре) и пин-код (со слов директора – хранится только в голове бухгалтера и никуда не записан, бумажек/надписей с кодом вблизи ПК не обнаружено)
            Платежи осуществляются по следующей схеме – сначала платежные документы готовятся в 1С, затем в текстовом виде выгружаются в определенный каталог (ПУТЬ_К_КАТАЛОГУ) в формате нешифрованного текстового файла.
            Затем при запуске АБС CFTBank происходит автоматическая загрузка информации о платежах, после ввода pin-кода – производится платеж.
            При исследовании компьютера обнаружены следующие факты:
- утром 21.10.2011 при явном переходе пользователя по ссылке (канал получения – электронная почта, браузер или ICQ – установить возможным не представляется) ПК был инфицирован модификацией вируса Trojan.Win32.Antavmu (время создания файла с инсталлятором вируса во временной директории пользователя – 9.45 21.10.2011);
- учитывая отсутствие нормальной антивирусной программы, и в связи с принадлежностью пользователя к группе «Администраторы» вирус успешно инсталлировался в систему с правами администратора, добавил необходимые для автозапуска ключи в реестр, и создал необходимые файлы (и ключи, и файлы обнаружены), и (предположительно) через Интернет сообщил своему владельцу о факте установки;
- несколько позже (время создания файла – 10.52 21.10.2011) в систему было установлено средство удаленного доступа BeTwin Terminal Services (позволяет организовать удаленный многопользовательский доступ к компьютеру незаметно для работающего за консолью пользователя), а также перехватчик клавиатурных нажатий/keylogger Mipko Personal Monitor;
- в дальнейшем злоумышленник с помощью keylogger получил (скорее всего – по электронной почте) введенный в окне бухгалтером при предыдущем платеже pin-код, с использованием средства удаленного администрирования незаметно для находящегося на рабочем месте пользователя подключился к ПК, сформировал текстовый файл с данными на не санкционированный платеж, поместил его в соответствующий каталог (ПУТЬ_К_КАТАЛОГУ) и, зная pin-код, произвел оплату; с точки зрения банка и ПО все эти действия являлись штатными – ключ в реестре есть, верный pin-код введен;
            Файлы всех указанных выше приложений, соответствующие ключи реестра и созданные злонамеренным ПО пользователи обнаружены в системе. Факт работы указанного ПО в системе достоверно выявлен как наличием соответствующих процессов, так и сообщениями в системных журналах Windows (уведомления об обращении к всплывающим окнам, и т.п.).
            В настоящее время компьютер выключен из локальной сети, ключ заблокирован со стороны ИМЯ_БАНКА.
            Никаких действий по удалению/модификации операционной системы, программного обеспечения и самого вируса не проводилось, чтобы не осложнять работу государственным экспертам.
 
            Рекомендации:
- проверить группы «Администратор» на всех ПК, исключить всех рядовых пользователей из этой группы;
- приобрести сертифицированный ФСТЭК антивирус (Kaspersky Business Space Security, DrWeb, NOD32), и установить на все имеющиеся ПК;
- внедрить прокси-сервер HTTP-трафика с антивирусной фильтрацией и журналированием проходящего трафика в обоих направлениях;
- внедрить дифференцированный учет трафика (в формате NetFlow) для абонентов внутренней офисной сети;
- запретить выдачу IP-адресов неизвестным устройствам в ЛВС;
- для пользователей, работающих с электронными средствами проведения платежей – создать отдельную групповую политику, разрешающую только запуск определенных приложений, а также фильтровать обращения к внешним сетям по принципу «белый список»;
- ввести должность «администратор по информационной безопасности»; в должностные обязанности выключить разработку и контроль выполнения мероприятий по обеспечению информационной безопасности Организации в соответствии с имеющейся нормативно-правовой документацией (98-ФЗ «О коммерческой тайне», 152-ФЗ «О персональных данных» и т.п.).
 
Примечания:
            Технический персонал Организации квалифицирован, однако какие-либо действия по обеспечению информационной безопасности не предпринимаются.
Описание вируса Trojan.Win32.Antavmu – http://www.securelist.com/ru/descriptions/10257627/Trojan.Win32.Antavmu.lch
Описание BeTwin Terminal Services - http://www.thinsoftinc.com/product_pc_sharing_betwin.aspx
Описание keylogger Mipko Personal  Keylogger
http://www.mipko.ru/personal-monitor/