Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Ataki na wschodnioeuropejskie banki
III Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni
2
O mnie Dorota Kulas Senior Red Team Analyst
Gdynia Dorota Kulas Senior Red Team Analyst Absolwentka Politechniki Gdańskiej Ponad 15 lat w IT 6 lat w ITSec
3
Temat prelekcji Raport Trustwave SpiderLabs
Post-Soviet Bank Heists: A Hybrid Cybercrime Study Analiza przeprowadzona przez Turstwave SpiderLabs Wizualizacja własna, hipotetyczne przykłady (“jak to mogło wyglądać”)
4
Przebieg wydarzeń W trzecim kwartale br zespół SpiderLabs przeprowadza śledztwo w sprawie serii włamań do banków w krajach postsowieckich Okazuje się, że z każdego z banków wykradziono sporą ilość pieniędzy (średnia: 5 milionów USD, zakres: 3-10 milionów USD) Środki wypłacane były z kont bankowych zwykłych (zdawało się) klientów za pomocą kart debetowych, z bankomatów zlokalizowanych poza krajem, w którym bank ma siedzibę W niektórych przypadkach banki zorientowały się, że padły ofiarą ataku, już po zakończeniu działań przez atakujących W kilku przypadkach banki zostały powiadomione o ataku przez instytucje płatnicze (centra rozliczeniowe / “pośredników kartowych”)
5
Co właściwie się stało? Adwersarze użyli “słupów”, którzy założyli konta w bankach z zerowych wkładem własnym i kartą debetową Karty zostały rozesłane poza granice kraju wydania Dokonano ataków na systemy IT banków, zmieniono parametry kart debetowych oraz zdezaktywowano mechanizmy obronne przeciw wyłudzeniom Kilka minut później dokonano masowych wypłat z bankomatów z użyciem kart debetowych W ciągu kilku godzin wyprowadzono z banków środki o wysokości około 40 milionów dolarów Overdraft – funkcja oferowana wybranym właścicielom kont – umożliwia wypłaty kartą debetową w wypadku braku dostępnych środków
6
Fazy ataku Źródło schematu: raport SpiderLabs [1]
7
Fizyczna faza ataku Źródło schematu: raport SpiderLabs [1]
8
Dostęp do sieci bankowej
Źródło schematu: raport SpiderLabs [1]
9
Spear phishing – przykład materiały własne
Uwaga: niezwiązany z omawianą kampanią; przykład z jednego ze zleceń biznesowych.
10
Dostęp do stacji roboczych pracowników przykład
Uwaga: zrzut ekranu niezwiązany z omawianą kampanią; przykład pochodzi z bloga Cobalt Strike[2]
11
Przejęcie kontroli nad siecią i systemami banku oraz centrum rozliczeniowego
Źródło schematu: raport SpiderLabs [1]
12
Od pracownika do pośrednika
infrastruktura CR bank centrum rozliczeniowe administrator domeny pracownik banku
13
Od pracownika do pośrednika
4GB / miesiąc serwer umożliwiający zarządzanie kartami przez przeglądarkę Mipko: zrzut ekranu w celu demonstracji, pochodzi od producenta [3]
14
Godzina zero: działania w sieci
Zmiana oceny ryzyka Włączenie możliwości przekroczenia limitu konta (overdraft / OD) Zmiana ustawień bądź wyłączenie mechanizmów przeciwdziałania wyłudzeniom (anti-fraud) Zmiana limitu OD z 0 USD do USD Źródło schematu: raport SpiderLabs [1]
15
Godzina zero: działania w świecie
Skoordynowane wypłaty gotówki (minuty po ataku w sieci) Bankomaty w Rosji i Europie, zlokalizowane w odludnych miejscach Brak kamer i ochrony w pobliżu* Bankomaty z wysokim limitem wypłat lub bez limitu Wypłaty w krajach poza siedzibami banku “Słupy” po wypłacie przekazywały środki dalej 5 godzin Źródło schematu: raport SpiderLabs [1]
16
Oprogramowanie użyte w czasie ataku
17
Zalecenia zespołu SpiderLabs
Banki powinny przygotować procedurę reagowania na incydenty naruszenia bezpieczeństwa (IRP – Incident Response Plan) i regularnie ją testować (audyty, pentesty i symulacje zagrożeń – red teaming) Należy wdrożyć programy wykrywania i reakcji na zagrożenia (“threat hunting”) w celu jak najwcześniejszego wykrycia i zapobieżenia atakowi Ścisła współpraca pomiędzy bankiem a centrum rozliczeniowym Należy wprowadzić zasadę “dwóch par oczu” w procedurach bankowych (np. jedna osoba składa wniosek o zmianę parametrów karty, inna go zatwierdza) Nie należy używać jednakowego hasła lokalnego administratora na wszystkich komputerach w sieci Należy ograniczyć do minimum użycie konta administratora domeny
18
?
19
Bibliografia SpiderLabs Cobalt Strike https://blog.cobaltstrike.com/
A-Hybrid-Cybercrime-Study/ 693/images/TW%20SpiderLabs%20Advanced%20Brief_Post- Soviet%20Bank%20Heists_PDF.pdf Cobalt Strike Mipko
20
Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon
When Red meets Blue... II edycja konferencji związanej z bezpieczeństwem IT Gdynia, 7-11 maja 2018 Skoncentrowana wokół Blue/Red Teaming (obrona/atak) Międzynarodowi goście i trenerzy Zapraszamy! @x33fcon fb/x33fcon
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.