$30 off During Our Annual Pro Sale. View Details »

„Sphinx, Dyre, Slave - potomkowie ZeuSa: jest czego się bać?”

White Cat Security
September 17, 2015

„Sphinx, Dyre, Slave - potomkowie ZeuSa: jest czego się bać?”

O złośliwym oprogramowaniu atakującym klientów sektora finansowego w Polsce do połowy roku 2015. Jeśli przeglądasz slajdy, prezentacja na pewno wymaga aktualizacji o nowe scenariusze, choć zdecydowana większość jest nadal aktualna.

White Cat Security

September 17, 2015
Tweet

More Decks by White Cat Security

Other Decks in Research

Transcript

  1. „Spinx,  Dyre,  Slave  -­‐  potomkowie  ZeuSa:  
    jest  czego  się  bać?”  
     
    Przemysław  Skowron,  17.09.2015,  Wrocław  

    View Slide

  2. O  mnie  
    •  Poznaję  „wroga”  od  roku  2001  
    •  Doświadczenie  w  „red  &  blue”  team  
    •  W  latach  2008-­‐2015  lider  i  architekt  CSIRT  Grupy  Alior  Bank  –  
    pierwszy  CSIRT  w  Polsce  
    •  Od  2015  (oficjalnie)  lider  White  Cat  Security:  
    –  Blog  hYp://www.whitecatsec.com  
    –  Usługi  hYp://www.whitecatsec.com/p/oferta.html  
     
     
    •  Więcej:  hYps://linkedin.com/in/pskowron      
    2  

    View Slide

  3. Agenda  
    •  Zdefiniujmy  problem  wyzwanie  
    •  Jak  się  bronimy?  
    •  Jak  jesteśmy  atakowani?  
    •  Dlaczego  to  nie  działa?  
    •  Co  więc  działa?  
    •  Podsumowanie  
    3  

    View Slide

  4. Zdefiniujmy  problem  wyzwanie  
    •  Ataki  celowane:  Równolegle  atakowani  są  Klienci  od  kilku  do  
    kilkunastu  banków  w  Polsce  –  prawdopodobnie  co  najmniej  
    jeden  z  naszych  członków  Rodziny  
    •  Ataki  niezależne  od  marki  danego  banku:  wszystkie  banki  w  
    Polsce  i  nie  tylko  banki  –  KAŻDY  z  Nas  
    4  

    View Slide

  5. Zdefiniujmy  problem  wyzwanie  
    •  Dżentelmeni  nie  rozmawiają  o  $,  my  musimy:  
    – 35  mln.  PLN  wg.  Redaktorów  TVP2  („pewne  jak  w  
    banku”)  
    – Przypadki  na  setki  tyś.  PLN  z  pojedynczych  
    przypadków  wg.  Redaktorów  TVN  (Jaworzno,  
    Rząśnia,  etc.)  
    – Wg.  mnie  między  kilkadzesiąt,  a  kilkaset  MLN/rok  
    – Potencjalna  strata  >  1  MLD  PLN/rok  w  .pl  
    5  

    View Slide

  6. Zdefiniujmy  problem  wyzwanie  
    •  Skąd  taki  potencjał?  
    – 75%  nie  obawia  się  nadużyć  z  użyciem  ich  danych  
    – 71%  nie  obawia  się  o  bezpieczeństwo  transakcji  
    – 57%  nie  ma  AV  
    – 71%  otwiera  maile  od  nieznanej  osoby    
    Special  Eurobarometer  423:  Cyber  Security
       
     
    6  

    View Slide

  7. Jak  się  bronimy?  
    •  Klienci:  
    – AV  
    – Inny  Anty(„coś”)  
    – Firewall  
    – Aktualny  system  i  oprogramowanie  
    – Wiedza  o  zagrożeniach  i  stale  rozwijany  wew.  
    mechanizm  obronny  (detekcyjny)  
     
    Tak  to  wygląda  na  „papierze”  
    7  

    View Slide

  8. Jak  się  bronimy?  
    •  Klienci:  
    –  AV  (brak,  ignorowany,  nieskuteczny)  
    –  Inny  Anty(„coś”)  (j/w)  
    –  Firewall  (j/w)  
    –  Aktualny  system  i  oprogramowanie  (nie  ma  nawet  w  
    filmach)  
    –  Wiedza  o  zagrożeniach  i  stale  rozwijany  wew.  
    mechanizm  obronny  (detekcyjny)  (przestępcy  
    „edukują”  skuteczniej)  
     
    Tak  to  wygląda  w  rzeczywistości  
    8  

    View Slide

  9. Jak  się  bronimy?  
    •  Banki:  
    – SSL  
    – „silne”,  wieloskładnikowe  metody  autoryzacji  
    – Systemy  FDS  (Fraud  Detecion  System)  
    – Inne  (operacyjne  działania  owiane  „poufnością”)  
    – Regulamin  bezpiecznego  korzystania  z  bankowości  
     
    Tak  to  wygląda  na  „papierze”  
    9  

    View Slide

  10. Jak  się  bronimy?  
    •  Banki:  
    –  SSL  (MITM,  Phishing,  etc.)  
    –  „silne”,  wieloskładnikowe  metody  autoryzacji  
    (zmieniają  wysokość  poprzeczki,  nie  są  wystarczające)  
    –  Systemy  FDS  (Fraud  Detecron  System)  (j/w)  
    –  Inne  (operacyjne  działania  owiane  „poufnością”)  
    –  Regulamin  bezpiecznego  korzystania  z  bankowości  
     
    Tak  to  wygląda  w  rzeczywistości  
    10  

    View Slide

  11. Jak  jesteśmy  atakowani?  
    •  Kradzież  loginu  i  hasła  (nawet  gdy  maskowane  
    –  poproszą  o  całe  J)  
    •  Kradzież  danych  o  środkach  
    •  Wykonanie  akcji  w  bankowości  
    •  Zlecenie  transakcji  finansowej  
    •  Kradzież  kodu  autoryzującego  
    •  Podmiana  nr.  rachunku  beneficjenta  
    11  

    View Slide

  12. Jak  jesteśmy  atakowani?  
    •  Kradzież  loginu  i  hasła  (nawet  gdy  maskowane  
    –  poproszą  o  całe  J)  
    – Podsłuchają  w  ruchu  sieciowym  (lokalnie,  przed  
    zaszyfrowaniem)  
    – Wstawią  swój  formularz  lub  zmodyfikują  istniejący  
    •  Kradzież  danych  o  środkach  
    – “Podsłuchają”  odpowiedź  serwera  zwracającą  
    informacje  o  naszych  produktach  bankowych  
    12  

    View Slide

  13. Jak  jesteśmy  atakowani?  
    •  Wykonanie  akcji  w  bankowości  
    – Zmiana  numer  zaufanego  tel.  (kody  SMS)  
    – Stworzenie/modyfikacja  szablonu  płatności  
    •  Zlecenie  transakcji  finansowej  
    – Stworzenie/modyfikacja  płatności  odroczonej  
    – Stworzenie/modyfikacja  płatności  do  autoryzacji  
    13  

    View Slide

  14. Jak  jesteśmy  atakowani?  
    •  Kradzież  kodu  autoryzującego  
    – Przekazanie  kodu  SMS  z  tel.  
    – Fałszywy  formularz  autoryzacji  operacji  (innej  niż  
    ta,  którą  faktycznie  kod  autoryzuje)  
    •  Podmiana  nr.  rachunku  beneficjenta  
    – Podmiana  danych  w  „schowku”,  na  stronie  (nie  
    tylko  banku)  
    14  

    View Slide

  15. Dlaczego  to  nie  działa?  
    •  „silne”  metody  autoryzacji  i  FDSy  (o  ile  je  
    posiadamy)  działają,  ale  nie  są  w  100%  
    skuteczne  
    •  Nie  miejmy  złudzeń,  że  Klienci  sektora  
    finansowego  nagle  nie  będą  przegrywać  walki  
    ze  złośliwym  oprogramowaniem  –  będą  i  to  
    częściej!  
    15  

    View Slide

  16. Co  więc  działa?  
    •  Motywacja:  
    – Reputacja  (banku,  klienta,  dostawcy)  
    – Prawo  (od  min.  2010  sądy  przychylne  bankom,  
    KNF  również  jasno  określa  się  w  temacie  
    złośliwego  oprogramowania)  
    – Kto  nie  chce  być  „Batmanem”  ?!  
    – Rekomendacja  Europejskiego  Banku  Centralnego  
    odnośnie  bezpieczeństwa  transakcji                                                                    
    finansowych  w  kanałach  elektronicznych  
    16  

    View Slide

  17. Co  więc  działa?  
    •  KK10.1  
    „Systemy  te  powinny  również  być  zdolne  do  
    wykrywania  symptomów  infekcji  sesji  przez  
    szkodliwe  oprogramowanie  (np.  poprzez  
    sprawdzenie,  czy  dana  czynność  realizowana  
    jest  przez  skrypt,  czy  przez  człowieka)  oraz  
    znanych  scenariuszy  oszustw.”  
     
    17  

    View Slide

  18. Co  więc  działa?  
    1.  Musimy  porzucić  dogmaty:  „nic  nie  możemy  
    zrobić”,  „użyli  obfuskacji!”,  „wykrywają  VM!”    
    2.  Przeanalizujmy  atak:  
    1.  Co  go  charakteryzuje?  -­‐>  IOC  
    2.  Co  go  odróżnia  od  „normalnego”  Klienta?  -­‐>  IOC  
    3.  Gdzie  go  mogę  zidentyfikować?  -­‐>  mam  lub  
    potrzebuję  nowych  narzędzi  –  zazwyczaj  
    wystarczy  to  co  masz!  
    18  

    View Slide

  19. Co  więc  działa?  
    4.  Zaimplementuj  detekcję  i  zintegruj  z  
    procesem  obsługi  Klienta.  Jest  DOBRZE!  
    5.  Powtarzaj  1-­‐4  lub  równolegle  przejdź  do  6.  
    6.  Opracuj  plan  działania  by  wcześniej  być  
    gotowym  na  kolejny  atak  –  z  mniejszą  ilością  
    udanych  kradzieży  po  zmienia  scenariusza/
    wektora  ataku.  
    19  

    View Slide

  20. Co  więc  działa?  
    •  Co  potrzebujemy?  
    – Ludzi:  CSIRT  +  IT  +  dostawca  bankowości  
    – Klasyczne  systemy  bezpieczeństwa  są  
    wystarczające  –  naprawdę  (!)  
    •  Co  otrzymamy?  
    – Skuteczną  detekcję  wszystkich*  znanych  i  
    częściową,  nieznanych  ataków  na  użytkowników  
    systemów  transakcyjnych  
    20  

    View Slide

  21. BONUS  (jeśli  mamy  czas)  
    •  Dedykowane  systemy  detekcji  złośliwego  
    oprogramowania  dla  bankowości:  
    1.  Czy  ktoś  zamierza  spróbować?  
    2.  Czy  ktoś  korzysta(ł)?  
    3.  Stopień  zadowolenia:  SUPER!  /  ŚREDNIO  /  …  
    21  

    View Slide

  22. Podsumowanie  
    •  Potencjalne  straty  >  niż  można  to  sobie  
    wyobrazić  
    •  Nie  oddawajmy  (klienci,  banki,  dostawcy  
    bankowości)  walkowerem  pieniędzy  
    •  Wiem  jak  walczysz  i  nic  nie  stoi  na  
    przeszkodzie  by  z  Tobą  nie  przegrać!  
    22  

    View Slide

  23. Sesja  Q&A  
     
    Dziękuję  za  aktywny  udział!  
     
    Do  zobaczenia  w  2016!  
     
     
     
    [email protected]  
    23  

    View Slide