Revoluce bankovních trojanů

19. 8. 2010

Sdílet

Zákeřné kódy umožňující podvodné online bankovní transakce nejsou úplně novou záležitostí. V loňském roce však tento druh softwaru dosáhl ve své rafinovanosti a důmyslnosti nové, alarmující mety.

Začalo to keyloggery

V minulosti byly zákeřné programy tohoto typu navrhovány vesměs na principech tzv. snímání klávesnic (keystroke logging, keyloggery). V případě úspěšného zabydlení na PC oběti byly často sbírány veškeré příchozí informace. Ty byly následně posílány do rukou někoho, kdo se je pokoušel po vcelku náročné selekci zneužít.

Jak se tomu finanční instituce postupem času naučily bránit, třeba zaváděním dvoufaktorové autentizace, začaly se objevovat důmyslnější softwary a metody, navíc podporované rozsáhlou sítí botnetů.

 

ZeuS

Za jednoho z prvních takových chytrých bankovních trojanů může být považován ZeuS. Ten infikuje počítače standardně skrze e-mailové zprávy nebo prohlížením infikované webové stránky, například s pomocí skriptu LuckySploit, který sám využívá zranitelnosti prohlížečů. LuckySploit poté sestaví s botnetem šifrovaný kanál, přes který je na hostitelský počítač instalován samotný ZeuS.

Ten následně "naslouchá" na pozadí a v podstatě vyčkává na aktivity, ze kterých je patrné, že se uživatel přihlašuje k nějakému (často konkrétnímu) účtu a odchycené informace pak šifrovaným kanálem předává svému botmasteru.

Výraznou inovací tohoto malwaru je funkcionalita, která při návštěvě stránky zabezpečené jednorázovým heslem dokáže iniciovat několik požadavků na vygenerování a zadání dalších hesel (obvykle z hardwarového tokenu/autentikátoru). Malware také dokáže generovat jiné požadavky na další ověření, jako je požadavek na PIN k platební kartě či výzva k zadání předvolené "tajné ověřovací otázky."

Tím, že veškerá komunikace mezi botmasterem a obětí probíhá šifrovaně, je imunní vůči všem skenovacím zařízením po cestě, firewallům, IDS/IPS apod. Trojan ZeuS je distribuován jako softwarová sada, jejíž součástí je nástroj umožňující vytvářet nové unikátní verze tohoto malwaru, jež zajistí schopnost vyhnout se detekci antivirovými programy založenými na signaturách.

 

Clampi

Trojan Clampi, byť není žádnou novinkou, začal vykazovat vysokou aktivitu až v roce 2009. Tento malware napadající počítače skrze části flash webových stránek a ActiveX taktéž shromažďuje citlivé bankovní a finanční informace.

Nicméně Clampi není "běžně" dostupný jako softwarový balíček k přímému použití, ale zatím to spíše vypadá, že je v rukou jisté skupiny lidí - což nahrává spekulaci, zda nebyl tento kód napsán na objednávku.

Clampi je modulární a taktéž umožňuje vytvářet své jedinečné varianty. Navíc tento trojan ověřuje, má-li uživatel napadeného PC administrátorská práva. Pokud ano a přihlásí se k takto infikovanému počítači, Clampi se rychle rozšíří po celé spravované síti pomocí legitimního Windows prográmku PsExec.

Clampi využívá silných šifrovacích algoritmů k zamaskování vlastní činnosti (například kódování vygenerovaného konfiguračního souboru), tudíž je po útoku velmi složité zjistit, co vlastně přesně tento trojan provedl.

 

URLZone

Pravděpodobně nejnovější zákeřnou vlaštovkou na scéně bankovních trojanů je URLZone. V rukou botmastera umožňuje v rámci skrytého on-line převodu z bankovního účtu oběti pozměnit informace výpisu a zakrýt tak fakt, že vůbec k nelegálnímu převodu došlo. Oběť se tak o podvodném převodu pouhou kontrolou přes internetové bankovnictví nic nedozví.

URLZone umožňuje „moderovat“ ze vzdálené řídící konzole běžící na botmasteru převod různých částek na různé účty v různých časových intervalech tak, aby bankovní monitorovací systémy nezaznamenaly nestandardní chování na účtu. V jistém smyslu se tady taktika útočníků odvrací od masivního bezhlavého dobývání k přímo cíleným krádežím v reálném čase, za kterými stojí konkrétní podvodník.

 

Jak se bránit?

Především kombinací různých metod, z nichž některé si musí zajistit sám uživatel bankovního účtu a některé instituce, která tento účet poskytuje. Banky by měly mít implementovány systémy pro detekci anomálního chování na účtu, kdy je evidentní, že transakce neprovádí člověk.

Stejně tak je důležitý monitoring nestandardní transakcí. Mohou také nabízet službu uzamčeného virtuálního prostředí, kdy se pouze pro dané sezení po otevření bankovní stránky (ale ještě před samotným přihlášením) v počítači vytvoří od hostitelského sytému oddělené prostředí – bezpečné, čisté.

Zákazníci by od své banky měli požadovat dvoufaktorovou autentizaci alternativním kanálem (nejčastěji přes mobilní telefon pomocí SMS) pro každou bankovní operaci zvlášť včetně přihlášení na účet.

Současně by k tomu měli požadovat nemožnost on-line změny telefonního čísla v systému – pouze na základě osobní návštěvy. Je také vhodné si u svého operátora ověřit, jak jednoduché (nebo spíše složité) je zajistit přesměrování telefonního čísla. Určitě nebude marností investovat do softwaru umožňujícího „uzamčení“ (hardening/lockdown) internetového prohlížeče.

Přistupujete-li k firemním účtům z vnitřní sítě větší organizace, požadujte její ochranu pomocí antivirových systémů podporujících globální reputační databáze, zajišťující dynamické karantény podezřelých kódů (těch, na které ještě nejsou signatury).

Pro ty, kteří ke svému finančnímu účtu přistupují pouze jménem a heslem, se rada „před každým přihlášením nastartujte Linux z LiveCD“ nejeví vůbec jako paranoidní…

 

bitcoin_skoleni

Autor pracuje jako projektant bezpečnosti ICT ve společnosti Anect.

Tento článek vyšel v tištěném SecurityWorldu 1/2010.