bankomatchik.ru

Форум по ремонту банкоматов и прочей банковской техники.
http://bankomatchik.ru/forum/

Fileless malware на банкоматах

http://bankomatchik.ru/forums/56/7755

Страница 1 из 2

Fileless malware на банкоматах

Непрочитанное сообщениеДобавлено: 20 мар 2017, 18:58
duglass
https://hi-tech.mail.ru/news/grabezh-ba ... frommail=2
Коментарии улыбают не меньше самой статьи. fp:|

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 20 мар 2017, 19:47
nonpar
Об этой опасности несколько дней назад заявил представитель ЦБ, не раскрывая деталей. Но тогда говорилось, что в России вирус пока не зафиксирован, а инфа исходит из бюллетеня одной из западных спецконтор, специализирующихся на подобных вещах. Сейчас уже говорят, что появилось и в России.
Мы все знаем, что дыры есть. Но важны, как всегда, именно детали...

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 20 мар 2017, 20:48
Ex-OSB2006
Ну а эта статья про что?

https://rns.online/finance/TSB-viyavil- ... 017-03-17/

Я только о бесконтактных картах подумал.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 20 мар 2017, 20:59
Dan
Я бы не сказал, что в татье полный бред.
Разве что только вот это, но и то теоретически возможно.
 Посмотреть
Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети

Из описания, могу предположить что вирус очень похож на вирус Tyupkin.
После успешной выдачи денег злоумышленнику, вирус автоуничтожается, удаляя все что с ним связано( файлы,реестр итд)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 21 мар 2017, 01:02
booby
Ex-OSB2006 писал(а):Ну а эта статья про что?

Про это
http://bankomatchik.ru/forums/28/7536#p94001

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 21 мар 2017, 15:40
Venique
Почитал комменты - будто гомна навернул. fp:|

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 21 мар 2017, 16:38
nonpar
Читать комменты на сайтах СМИ/соцсетей - это, конечно, садомазо...
А вот оценить реальность и характер угрозы - стоит)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 21 мар 2017, 18:43
syoss
Коллеги, а есть ли какая-нибудь более подробная информация по этому поводу?
Смех - смехом, а вдруг?

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 21 мар 2017, 21:05
mikle
Обобщенной инфы по сабжу нет. Но зря смеетесь господа.. Ищите в англо-язычной зоне инета отдельные части в этой области:
- fileless infector
- wireless skimmer
- ATM infector.
Дальше анализируйте инфу и делайте выводы...
10 лет назад скиммеры имели гигантские по сравнению с сегодняшними размеры. Прогресс идет, и в криминале он развивается в первую очередь.
Даже 5 лет назад я бы поржал сам над этой новостью - https://m.lenta.ru/news/2017/03/14/wewibe/
А сегодня работая в области IoT, "интернет вещей", совсем не удивляюсь этому

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 22 мар 2017, 02:22
nonpar
В общем, как обычно, возможные меры противодействия сводятся к предотвращению физического доступа к компу АТМ (защита инженерной зоны и блокировка всех устройств ввода/вывода системника: CD, USB, клавиатура/мышь). Ну и, само собой, сетевая безопасность.
Надеюсь, ещё не придуман способ внедрения вредоносного кода при чтении чиповой карты в режиме обслуживания клиентов)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 22 мар 2017, 22:31
FineSky
Наверно они пытались вот эту статью переварить, но не получилось.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 14:07
nonpar
В статье всё очень подробно и "важно" расписано, но где-то странице на третьей есть маленький абзац "получение доступа к банкоматам", откуда можно узнать, что они удаленно администрировались с помощью Remote Desktop. После чего всё предыдущее уже непринципиально)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 17:49
Venique
nonpar, да абзац как бы не маленький, там просто всё по этапам расписывали и атака через RDP - один из, просто является одним из основополагающих. Нет RDP - нет инъекции, но только в том случае, если злоумышленники не смогут выявить другие активные каналы доставки данных до банкомата. Ну и в конце чёрным по белому написано, что даже банальное обновление ПО может защитить от эксплоитов на основе этого пакета для пин-тестов. Понятно, что это рекламный пост, но написано по делу, всяко лучше, чему наших журнализдов.

FineSky, спасибо за ссылку! :good:

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 18:17
nonpar
Venique писал(а):выявить каналы доставки данных до банкомата

А чего их доставлять - их каждое NDC-сообщение с хоста доставляет. Важно запустить вредоносный код) Использовать на таких устройствах любые формы удаленного доступа к запуску кода, ЗНАЯ ОБ ЭТОМ - всё равно что уповать на совершенство замка, врезанного в стеклянную дверь)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 19:09
Gn00
Если на морде банкомата не писать его номер, то можно существенно усложнить задачу мошенникам.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 19:26
central
Gn00, у них доступ к мониторингу. Там адреса написаны.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 20:53
Venique
nonpar, а как через NDC-сообщение батник передать? :)

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 21:37
abcbanker
FineSky писал(а):Наверно они пытались вот эту статью переварить, но не получилось.

Вы ошибаетесь. Произошел испорченный телефон.
Исходная статья попала сначала на страницы зарубежных СМИ с "добавленными подробностями", откуда перекочевала в рассылке NCR
NCR is aware of the reported emergence of a new variation of ATM malware that has been reported by a security solution firm.

И уже оттуда потекло по рунету.

Добавлено спустя 6 минут 45 секунд:
mikle писал(а):ATM infector

Про это и в русскоязычном есть.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 21:57
FineSky
Venique, это вопрос будущих технологий. Пока есть удаленный доступ к банкоматам, с возможность отправки исполняемых файлов, отправлять по NDC не требуется.
Проверка целостности ПО спасает от несанкционированного запуска «левых» программ. Но толку от этого мало, если есть функция удаленного отключения. От такого вида атак, спасет только полное отключение удаленного доступа. Имея более 1К банкоматов, удаленный доступ никто отключать не будет. Ноги отсохнут обновления ставить (или денег на бегунов не хватит). А если у банка около 10 банкоматов, то не особо интересно их ломать.
abcbanker
Возможно. Статьи на иностранных языках я не читаю, т.к. не владею ими. С момента атак прошло больше чем полгода. Понятно, что за это время появилось куча перепечаток. На хабре мне статья понравилась. Откровенной "лажи" в ней нет, а если есть какие-то неточности, то достоверную информации с полным описанием все равно никто не выложит в открытый доступ.

Re: какого бреда только не напишут.

Непрочитанное сообщениеДобавлено: 23 мар 2017, 23:18
booby
Насчет бесфайловых вирусов - в Винде давно есть такая шняга, которая позволяет создавать на удаленном компьютере процесс без копирования исполняемого файла на его диск. Поэтому весь этот хайп имеет скорее маркетинговую природу.
А то, что кулхацкеры атакуют банкоматные сети - ну так если банкомат есть сетевой компьютер под Виндой, то почему бы его не атаковать. Тут и XFS к месту, так как упрощает разработку софта для управления аппаратными модулями банкоматов от различных производителей.