Fileless malware на банкоматах

Раздел посвящен безопасности банкоматов.

Fileless malware на банкоматах

Непрочитанное сообщение duglass » 20 мар 2017, 18:58

https://hi-tech.mail.ru/news/grabezh-ba ... frommail=2
Коментарии улыбают не меньше самой статьи. fp:|
Есть такие решения, после принятия которых, тараканы в голове аплодируют стоя.
Аватара пользователя
duglass
Нач. отдела
 
Сообщения: 1292
Зарегистрирован: 28 май 2010, 17:34

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar » 20 мар 2017, 19:47

Об этой опасности несколько дней назад заявил представитель ЦБ, не раскрывая деталей. Но тогда говорилось, что в России вирус пока не зафиксирован, а инфа исходит из бюллетеня одной из западных спецконтор, специализирующихся на подобных вещах. Сейчас уже говорят, что появилось и в России.
Мы все знаем, что дыры есть. Но важны, как всегда, именно детали...
nonpar
Специалист
 
Сообщения: 207
Зарегистрирован: 30 сен 2011, 14:25

Re: какого бреда только не напишут.

Непрочитанное сообщение Ex-OSB2006 » 20 мар 2017, 20:48

Ну а эта статья про что?

https://rns.online/finance/TSB-viyavil- ... 017-03-17/

Я только о бесконтактных картах подумал.
Аватара пользователя
Ex-OSB2006
Нач. отдела
 
Сообщения: 1056
Зарегистрирован: 23 авг 2011, 16:39

Re: какого бреда только не напишут.

Непрочитанное сообщение Dan » 20 мар 2017, 20:59

Я бы не сказал, что в татье полный бред.
Разве что только вот это, но и то теоретически возможно.
 Посмотреть
Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети

Из описания, могу предположить что вирус очень похож на вирус Tyupkin.
После успешной выдачи денег злоумышленнику, вирус автоуничтожается, удаляя все что с ним связано( файлы,реестр итд)
Don't confuse my personality with my attitude. My personality is who I am. My attitude depends on who you are.
Аватара пользователя
Dan
Нач. отдела
 
Сообщения: 2600
Зарегистрирован: 28 окт 2010, 23:20

Re: какого бреда только не напишут.

Непрочитанное сообщение booby » 21 мар 2017, 01:02

Ex-OSB2006 писал(а):Ну а эта статья про что?

Про это
http://bankomatchik.ru/forums/28/7536#p94001
booby
Специалист
 
Сообщения: 263
Зарегистрирован: 21 янв 2013, 06:14

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique » 21 мар 2017, 15:40

Почитал комменты - будто гомна навернул. fp:|
Venique
Новичок
 
Сообщения: 20
Зарегистрирован: 01 апр 2016, 21:29

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar » 21 мар 2017, 16:38

Читать комменты на сайтах СМИ/соцсетей - это, конечно, садомазо...
А вот оценить реальность и характер угрозы - стоит)
nonpar
Специалист
 
Сообщения: 207
Зарегистрирован: 30 сен 2011, 14:25

Re: какого бреда только не напишут.

Непрочитанное сообщение syoss » 21 мар 2017, 18:43

Коллеги, а есть ли какая-нибудь более подробная информация по этому поводу?
Смех - смехом, а вдруг?
syoss
Прохожий
 
Сообщения: 4
Зарегистрирован: 14 фев 2014, 18:55

Re: какого бреда только не напишут.

Непрочитанное сообщение mikle » 21 мар 2017, 21:05

Обобщенной инфы по сабжу нет. Но зря смеетесь господа.. Ищите в англо-язычной зоне инета отдельные части в этой области:
- fileless infector
- wireless skimmer
- ATM infector.
Дальше анализируйте инфу и делайте выводы...
10 лет назад скиммеры имели гигантские по сравнению с сегодняшними размеры. Прогресс идет, и в криминале он развивается в первую очередь.
Даже 5 лет назад я бы поржал сам над этой новостью - https://m.lenta.ru/news/2017/03/14/wewibe/
А сегодня работая в области IoT, "интернет вещей", совсем не удивляюсь этому
mikle
Специалист
 
Сообщения: 436
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar » 22 мар 2017, 02:22

В общем, как обычно, возможные меры противодействия сводятся к предотвращению физического доступа к компу АТМ (защита инженерной зоны и блокировка всех устройств ввода/вывода системника: CD, USB, клавиатура/мышь). Ну и, само собой, сетевая безопасность.
Надеюсь, ещё не придуман способ внедрения вредоносного кода при чтении чиповой карты в режиме обслуживания клиентов)
nonpar
Специалист
 
Сообщения: 207
Зарегистрирован: 30 сен 2011, 14:25

Re: какого бреда только не напишут.

Непрочитанное сообщение FineSky » 22 мар 2017, 22:31

Наверно они пытались вот эту статью переварить, но не получилось.
Не трогай! Пока не сломал.
Аватара пользователя
FineSky
Сбербанк
Сбербанк
 
Сообщения: 113
Зарегистрирован: 19 сен 2010, 21:36
Откуда: Северный Медведь
Авто: ТАЗ

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar » 23 мар 2017, 14:07

В статье всё очень подробно и "важно" расписано, но где-то странице на третьей есть маленький абзац "получение доступа к банкоматам", откуда можно узнать, что они удаленно администрировались с помощью Remote Desktop. После чего всё предыдущее уже непринципиально)
nonpar
Специалист
 
Сообщения: 207
Зарегистрирован: 30 сен 2011, 14:25

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique » 23 мар 2017, 17:49

nonpar, да абзац как бы не маленький, там просто всё по этапам расписывали и атака через RDP - один из, просто является одним из основополагающих. Нет RDP - нет инъекции, но только в том случае, если злоумышленники не смогут выявить другие активные каналы доставки данных до банкомата. Ну и в конце чёрным по белому написано, что даже банальное обновление ПО может защитить от эксплоитов на основе этого пакета для пин-тестов. Понятно, что это рекламный пост, но написано по делу, всяко лучше, чему наших журнализдов.

FineSky, спасибо за ссылку! :good:
Venique
Новичок
 
Сообщения: 20
Зарегистрирован: 01 апр 2016, 21:29

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar » 23 мар 2017, 18:17

Venique писал(а):выявить каналы доставки данных до банкомата

А чего их доставлять - их каждое NDC-сообщение с хоста доставляет. Важно запустить вредоносный код) Использовать на таких устройствах любые формы удаленного доступа к запуску кода, ЗНАЯ ОБ ЭТОМ - всё равно что уповать на совершенство замка, врезанного в стеклянную дверь)
nonpar
Специалист
 
Сообщения: 207
Зарегистрирован: 30 сен 2011, 14:25

Re: какого бреда только не напишут.

Непрочитанное сообщение Gn00 » 23 мар 2017, 19:09

Если на морде банкомата не писать его номер, то можно существенно усложнить задачу мошенникам.
Gn00
Специалист
 
Сообщения: 255
Зарегистрирован: 19 авг 2014, 16:41

Re: какого бреда только не напишут.

Непрочитанное сообщение central » 23 мар 2017, 19:26

Gn00, у них доступ к мониторингу. Там адреса написаны.
Experience a new world of interaction
Аватара пользователя
central
Модератор
Модератор
 
Сообщения: 1861
Зарегистрирован: 20 дек 2010, 03:59
Авто: Майбах

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique » 23 мар 2017, 20:53

nonpar, а как через NDC-сообщение батник передать? :)
Venique
Новичок
 
Сообщения: 20
Зарегистрирован: 01 апр 2016, 21:29

Re: какого бреда только не напишут.

Непрочитанное сообщение abcbanker » 23 мар 2017, 21:37

FineSky писал(а):Наверно они пытались вот эту статью переварить, но не получилось.

Вы ошибаетесь. Произошел испорченный телефон.
Исходная статья попала сначала на страницы зарубежных СМИ с "добавленными подробностями", откуда перекочевала в рассылке NCR
NCR is aware of the reported emergence of a new variation of ATM malware that has been reported by a security solution firm.

И уже оттуда потекло по рунету.

Добавлено спустя 6 минут 45 секунд:
mikle писал(а):ATM infector

Про это и в русскоязычном есть.
abcbanker
Новичок
 
Сообщения: 24
Зарегистрирован: 11 ноя 2015, 04:12

Re: какого бреда только не напишут.

Непрочитанное сообщение FineSky » 23 мар 2017, 21:57

Venique, это вопрос будущих технологий. Пока есть удаленный доступ к банкоматам, с возможность отправки исполняемых файлов, отправлять по NDC не требуется.
Проверка целостности ПО спасает от несанкционированного запуска «левых» программ. Но толку от этого мало, если есть функция удаленного отключения. От такого вида атак, спасет только полное отключение удаленного доступа. Имея более 1К банкоматов, удаленный доступ никто отключать не будет. Ноги отсохнут обновления ставить (или денег на бегунов не хватит). А если у банка около 10 банкоматов, то не особо интересно их ломать.
abcbanker
Возможно. Статьи на иностранных языках я не читаю, т.к. не владею ими. С момента атак прошло больше чем полгода. Понятно, что за это время появилось куча перепечаток. На хабре мне статья понравилась. Откровенной "лажи" в ней нет, а если есть какие-то неточности, то достоверную информации с полным описанием все равно никто не выложит в открытый доступ.
Не трогай! Пока не сломал.
Аватара пользователя
FineSky
Сбербанк
Сбербанк
 
Сообщения: 113
Зарегистрирован: 19 сен 2010, 21:36
Откуда: Северный Медведь
Авто: ТАЗ

Re: какого бреда только не напишут.

Непрочитанное сообщение booby » 23 мар 2017, 23:18

Насчет бесфайловых вирусов - в Винде давно есть такая шняга, которая позволяет создавать на удаленном компьютере процесс без копирования исполняемого файла на его диск. Поэтому весь этот хайп имеет скорее маркетинговую природу.
А то, что кулхацкеры атакуют банкоматные сети - ну так если банкомат есть сетевой компьютер под Виндой, то почему бы его не атаковать. Тут и XFS к месту, так как упрощает разработку софта для управления аппаратными модулями банкоматов от различных производителей.
booby
Специалист
 
Сообщения: 263
Зарегистрирован: 21 янв 2013, 06:14

След.

Сообщений: 28 • Страница 1 из 21, 2

Вернуться в Безопасность



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0