קבוצות האקרים ממשיכות בניסיונות גניבה מכספומטים - ניתוח מקרה של קוד זדוני
מאת:
מערכת Telecom News, 5.4.17, 12:24
יום אחד גילו עובדי בנק מסוים כספומט ריק: לא היו כסף, עקבות של פריצה פיזית למכשיר או קוד זדוני. חקירה הצליחה לנתח את הכלים, ששימשו את עברייני הסייבר במהלך השוד, ולשחזר את ההתקפה עצמה, שהוכנה בקפידה, תוך גילוי פרצת אבטחה בבנק.
בפברואר 2017, פרסמה מעבדת קספרסקי
תוצאות חקירה, שעסקה במתקפה מסתורית "ללא קבצים" כנגד בנקים: העבריינים השתמשו בקוד זדוני
in-memory כדי להדביק רשתות בנקאיות. אבל מדוע הם עשו זאת?
חקירת AMTich מספקת את התמונה השלמה.
המחקר החל לאחר שמומחי הפורנזיקה של הבנק חילצו מהדיסק הקשיח של הכספומט 2 קבצים, שהכילו נתוני לוגים של קוד זדוני (
Kl.txt ו-
logfile.txt). הקבצים, שהועברו לחוקרים, היו היחידים, שנותרו אחרי המתקפה: לא ניתן היה לאחזר את קוד ההפעלה הזדוני, מכיוון שלאחר השוד הוא נמחק ע"י הפורצים. אבל גם כמות הנתונים הזעירה שנותרה הספיקה לניהול המחקר.
מחיקה / ואתחול
בקבצי הלוגים הצליחו החוקרים לזהות פיסות של נתונים, שנכתבו בשפה פשוטה, ושסייעו להם ליצור חוק
YARA עבור בסיסי נתונים ציבוריים של קוד זדוני. חוקי
YARA, בעיקרם מחרוזות חיפוש, מסייעים לאנליסטים למצוא, לקבץ, ולקטלג דוגמיות של קוד זדוני, ולמצוא קווי דמיון ביניהם לבין תבניות של פעילות חשודה במערכות וברשתות שלהם. לאחר ניתוח נמצאה דוגמית הקוד הזדוני -
tv.dll או
ATMitch. היא זוהתה בשטח פעמיים, פעם בקזחסטן ופעם נוספת ברוסיה.
קוד זדוני זה מותקן מרחוק ומופעל על כספומטים דרך הרשת של הבנק המותקף: באמצעות מערכת הניהול מרחוק של מכשירי הכספומט. לאחר שהוא מותקן ומקושר לכספומט, הקוד הזדוני
ATMitch מתקשר עם הכספומט כאילו היה תוכנה חוקית. הוא מאפשר לתוקפים לבצע רשימה של פקודות, כגון איסוף מידע אודות מספר השטרות הזמין במחסניות הכספומט. הוא גם מספק לעבריינים את היכולת להוציא את השטרות בכל רגע נתון בלחיצת כפתור.
בדרך כלל, מתחילים עבריינים באיסוף מידע לגבי כמות הכסף שיש במכשיר. לאחר מכן, העבריין יכול לשלוח פקודה להוציא את כל כמות השטרות מהמחסניות. לאחר משיכת הכסף בדרך זו, נותר לעבריינים רק לקחת את הכסף וללכת. שוד כספומט כזה אורך מספר שניות בדיוק. ואז, ברגע שכספומט נשדד, הקוד הזדוני מוחק את כל העקבות.
מי שם?
עדיין לא ידוע מי עומד מאחורי ההתקפה. השימוש בקוד פריצה בקוד פתוח, בכלים מוכרים של מערכת חלונות ודומיינים, שאינם מוכרים במהלך השלבים הראשונים של המתקפה, מונע כמעט לחלוטין את האפשרות לקבוע מי העומד מאחוריה. עם זאת, קובץ ה-
tv.dll, שנעשה בו שימוש בשלב הכספומט בהתקפה, מכיל מקורות של שפה רוסית, וקבוצות מוכרות, שיכולות להתאים לפרופיל כזה, הן
Carbanak ו-
GCMAN.
סרגיי גולבנוב, חוקר אבטחה ראשי במעבדת קספרסקי: "ייתכן והתוקפים עדיין פעילים. אבל בלי פאניקה. לחימה בסוג זה של התקפות דורשת מערך יכולות של מקצועני אבטחה השומרים על הארגון המותקף. הפריצה המוצלחת וחילוץ הנתונים יכול להתבצע רק באמצעות כלים נפוצים ולגיטימיים. לאחר ההתקפה, עבריינים עלולים למחוק את כל הנתונים, שיכולים להוביל לזיהויים, והם אינם משאירים עקבות. שום דבר. כדי לטפל בבעיה זו, פורנזיקה של זיכרון הופכת לחלק חשוב בניתוח של קוד זדוני ושל יכולותיו. כפי שהמקרה שבידינו מוכיח, תגובה מנוהלת היטב של אירוע יכולה לסייע לפתור אפילו פשע סייבר שהוכן בקפידה".
מידע נוסף -
כאן.
מידע על חוקי
YARA לניתוח אירועים של מתקפות
fileless -
כאן.