8 800 550 54 53

Прием звонков: с 09:00 до 21:00 (мск).

Без выходных.

Заказать

Прием заказов:

круглосуточно.

Трояны для банк клиентов

Трояны для банк клиентов
Трояны для банк клиентов
Статья создана: , обновлена:

Опасная профессия

Понятное дело, что для банк - клиентов используются специализированные трояны, которые умеют работать с электронно цифровыми подписями (с USB токенами), с одноразовыми паролями, виртуальными и обычными клавиатурами и так далее и тому подобное.

Вирусы трояны эти так просто с Интернет не скачать - их приобретают у «производителя» и затачивают под конкретные банки (существует цельный рынок кардеров, которые продают всю необходимую информацию, но здесь не об этом).

К примеру, троян/руткит не только собирает (ворует) все, что введено, но и подменяет контент сайта банка (то есть делает фишинговый сайт). То есть, забиваешь ты платежку, жмешь кнопку «подписать», а на самом деле в USB Token уходит другая платежка с другим получателем, которую ты и подписал, однако на экране компьютера все по-прежнему выглядит невинно и благородно, а также отображены все те данные, что ты ввел (однако в банк уходят другие данные). Такие трояны стоят очень дорого и применяются конкретно под определенную цель. Как правило, те, кто ломают клиента и воруют, и те, кто пишут троян - разные люди.

Кроме прочего, после перевода деньги еще надо снять. Самый простой вариант увода - попросить каких-нибудь студентов зарегистрировать счет и карту, скажем, за пять тысяч рублей. Правильно выбранный студент не откажется от такого. Далее забираешь карточку и пин - код. Потом, в выбранный день N, осуществляются переводы со взломанных клиентов на счет, который зарегистрировал студент. Далее ездишь по банкоматам и сливаешь с карточки наличные. Это, конечно, грубая и не всегда эффективная модель вывода, но при маленьких суммах или большом количестве студентов и дропов (дроперы - те кто скидывают/получают деньги) - реальная. В общем - то наши доблестные органы ловят в основном дропов, до организаторов сложно добраться, и они могут находиться очень далеко, скажем, на Украине или в Польше, а главное, что как правило никто никогда в лицо не видел, и знают соучастника по нику типа «Hacker542». Или наоборот, дропы сливают наличные деньги в Болгарии, а хакеры (злые, плохие ребята, а не крутые добрые белые шляпы) работают в Новосибирске. При таком географическом разбросе вычислить следы сложно, и по закону очень проблематично, ибо законы одной страны не распространяются на законы другой страны. Ну, понятное дело, что дело это опасное и нехорошее, у каждого в нем своя роль, но все это уголовно наказуемо, но прибыльно!

Правда тем кто без мозгов и жадный делать на этом рынке нечего.

Не клиентом единым

К слову, ломать могут не только клиентов, но и сам банк. Казалось бы, это нереально, но тут есть, где развернуться - последний опыт пен - тестов показал, что нашим разработчикам систем есть куда развиваться. В разное время и в разных системах был найден классический набор ошибок: XSS, SQL - инъекции, логические ошибки доступа, отсутствие шифрования критичных данных и так далее, и тому подобное.

Примеры векторов атак при этом могут быть разными, но основа все - таки почти всегда полу - инсайдерская. Дело в том, что если у тебя уже есть доступ к банк клиенту, то есть, фактически, ты - клиент банка, то возможностей по взлому самого банка у тебя на порядок больше, нежели ты был бы простым внешним пользователем.

Мой любимый пример логической ошибки: хочешь ты перевести рубли в доллары. Банк клиент предоставляет такой функционал, у тебя, соответственно, два счета - валютный и рублевый. Скрипт перевода выглядит так: на вход сумма в рублях и валюта. На выходе - сумма в рублях, текущий курс, сумма в долларах и хэш. После подтверждения пользователем, что он согласен на перевод, это все кидается в третий скрипт, который проверяет хэш (это от CSRF) и обрабатывает ввод, делая update в базе данных. Так вот, на втором шаге можно изменить курс доллара на более выгодный, а второй скрипт уже не проверяет курс. Это пример типичной логической ошибки.

Описывать SQL - инъекции и XSS не смысла - кому надо тот уже знакомы с таким видом дырок.

Нулевой день (0 day)

Но вернемся к клиенту, так как он все - таки более частая жертва.

Два года назад, когда я работал в одном питерском банке, мне было так скучно, что я решил поковырять ActiveX популярного банк - клиента на предмет уязвимостей (BSS). Фаззинг ничего не дал, так как формат принимаемых данных был сложным, но так как время у меня было, я просто медленно и верно восстанавливал формат входных данных.

Когда формат был восстановлен, я указал очень большой параметр в текущем формате. Итог банален - переполнение буфера. Тогда я проверил еще два популярных коробочных продукта (Inist. R - Style). И там уже банальным фаззингом нашел как переполнения буфера, так и небезопасные методы в ActiveX (вспоминаю сейчас доклад на СС 10 Алексея Трошичева про фаззинг в процессе разработки и вопросы программистов из зала на тему «нафиг это надо?». Вот ответ. Хотя анализ исходных кодов - также вещь необходимая и важная.

И вот прошло два года, и я решил просмотреть еще один ActiveX, который недосмотрел тогда, естественно, отечественный и популярный. Фаззинг ничего не дал (как и два года назад). Но в этот раз я привлек банальную внимательность, которая никогда не повредит никому. И вуаля - было найдено переполнение буфера в одном свойстве, которое эксплуатировалось только в связке с другими свойствами и методами. Понятное дело, что фаззеры неэффективны, когда формат данных или последовательность вызовов нетривиальна. Так получилось, что четыре из четырех ActiveX, которые я посмотрел «чисто из любопытства», содержали критические уязвимости (сейчас все исправлено, слава DSecRG. политика которых заключается в бесплатном уведомлении отечественных разработчиков без распространения технических деталей в публикациях). При этом стоит учесть, что два банк - клиента сдались простейшему фаззеру ActiveX, что говорит о том, что злые парни тоже могли бы их найти (в отличие от других двух, где фаззеры не дали результатов). Но это еще не все, я решил глянуть на СКЗИ и его окружение, вернее, на Inter - PRO от Сигнал - КОМ - клиент - серверное приложение, отвечающее за передачу данных по сети.

Само приложение содержит вшитый модуль СКЗИ, который типа сертифицирован супер, пупер конторой аля ФСБ (чтобы шифровать, не нарушая закон). Так вот, данное программное обеспечение содержало аж три уязвимости (и мы уже говорим не про ActiveX, а про полноценное клиент - серверное программное обеспечение). Одна из ошибок удаленная (в серверной части) и фактически позволяет «отключить» любой банк, который использует у себя Inter - PRO (DoS).

Риски снижаются за счет того, что «отключить» банк может только законный пользователь банка, имеющий валидный ключ (любой клиент), а не каждый встречный - поперечный. Одна из уязвимостей была и в клиенте - переполнение буфера с возможностью выполнения произвольного кода (для этого вектора атаки надо иметь доступ на запись к файлам клиента или подсунуть свой файл, что опять-таки, сильно снижает вероятность реальных атак). В любом случае, такие ошибки в критическом продукте - неприятность. Добавлю, что из всех производителей лишь программное обеспечение от Сигнал - КОМ использовало защитные механизмы компилятора/GS (понятно, что есть пути обхода GS, но в данном выпуске они были неприменимы, и это позволило лишь выполнить удаленный DoS вместо Code Execution).

Было бы хорошо, если бы такие слова, как Permanent DEP, ASLR, SEHOP, GS были знакомы всем программистам, ведь в связке эти штуки способны сильно, сильно поломать планы злым хакерам.

Пример - все тот же Inter - PRO - если бы не GS, то была бы печальная история, а так - просто невнимательность и неприятность. Добавлю, что пользователь может знать об уязвимостях во Flash, Acrobat Reader, Windows и так далее, но про уязвимости в отечественном продукте он не узнает - никто этим не занимается, на этом баг-хантерам денег не сделать (бывают исключения, но они скорее другого рода).

Дополнительная информация по теме

Троян заблокировал Windows

Блокировка Windows, методы разблокировки зараженной операционной системы компьютера вирусом-трояном

Настройка иконок на клиенте

Детальная и подробная инструкция по настройке иконок в программном комплексе SD 3000 на клиенте

Причины бана сайта

При проведении seo-оптимизации сайта, следует придерживаться определенных правил, что бы избежать бана сайта

Работа для студентов

Обзор вакансий для студентов, польза от дополнительного заработка, работа в Интернете

Ссылка для обмена:

Ссылка для форума:

Ссылка для сайта:

Есть вопросы, замечания, дополнения? Пишите в комментариях.
Заказать тексты для сайта (онлайн форма) - цена от 60 рублей, срок 24 часа
вирусы трояны, банк клиент

Страница: Трояны для банк клиентов

Дата публикации: 2010-10-27 19:40. Последние изменения: 2016-02-27 13:51

наверх