Fileless malware на банкоматах

Раздел посвящен безопасности банкоматов.
Аватара пользователя
duglass
Нач. отдела
Сообщения: 1308
Зарегистрирован: 28 май 2010, 18:34
Благодарил (а): 46 раз
Поблагодарили: 65 раз
Контактная информация:

Fileless malware на банкоматах

Непрочитанное сообщение duglass »

https://hi-tech.mail.ru/news/grabezh-ba ... frommail=2
Коментарии улыбают не меньше самой статьи. fp:|
Есть такие решения, после принятия которых, тараканы в голове аплодируют стоя.
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar »

Об этой опасности несколько дней назад заявил представитель ЦБ, не раскрывая деталей. Но тогда говорилось, что в России вирус пока не зафиксирован, а инфа исходит из бюллетеня одной из западных спецконтор, специализирующихся на подобных вещах. Сейчас уже говорят, что появилось и в России.
Мы все знаем, что дыры есть. Но важны, как всегда, именно детали...
Аватара пользователя
Ex-OSB2006
Нач. отдела
Сообщения: 1135
Зарегистрирован: 23 авг 2011, 17:39
Благодарил (а): 17 раз
Поблагодарили: 36 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение Ex-OSB2006 »

Ну а эта статья про что?

https://rns.online/finance/TSB-viyavil- ... 017-03-17/

Я только о бесконтактных картах подумал.
Аватара пользователя
Dan
Нач. отдела
Сообщения: 2817
Зарегистрирован: 29 окт 2010, 00:20
Благодарил (а): 44 раза
Поблагодарили: 96 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение Dan »

Я бы не сказал, что в татье полный бред.
Разве что только вот это, но и то теоретически возможно.
Спойлер
Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети
Из описания, могу предположить что вирус очень похож на вирус Tyupkin.
После успешной выдачи денег злоумышленнику, вирус автоуничтожается, удаляя все что с ним связано( файлы,реестр итд)
Scientists study the world as it is, engineers create the world that never has been
booby
Специалист
Сообщения: 391
Зарегистрирован: 21 янв 2013, 07:14
Поблагодарили: 1 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение booby »

Ex-OSB2006 писал(а):Ну а эта статья про что?
Про это
http://bankomatchik.ru/forums/28/7536#p94001
Venique
Местный
Сообщения: 140
Зарегистрирован: 01 апр 2016, 22:29

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique »

Почитал комменты - будто гомна навернул. fp:|
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar »

Читать комменты на сайтах СМИ/соцсетей - это, конечно, садомазо...
А вот оценить реальность и характер угрозы - стоит)
syoss
Прохожий
Сообщения: 4
Зарегистрирован: 14 фев 2014, 19:55

Re: какого бреда только не напишут.

Непрочитанное сообщение syoss »

Коллеги, а есть ли какая-нибудь более подробная информация по этому поводу?
Смех - смехом, а вдруг?
mikle
Специалист
Сообщения: 470
Зарегистрирован: 09 июн 2010, 15:12
Авто: японский 4х4
Откуда: Из подмосковных лесов
Поблагодарили: 12 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение mikle »

Обобщенной инфы по сабжу нет. Но зря смеетесь господа.. Ищите в англо-язычной зоне инета отдельные части в этой области:
- fileless infector
- wireless skimmer
- ATM infector.
Дальше анализируйте инфу и делайте выводы...
10 лет назад скиммеры имели гигантские по сравнению с сегодняшними размеры. Прогресс идет, и в криминале он развивается в первую очередь.
Даже 5 лет назад я бы поржал сам над этой новостью - https://m.lenta.ru/news/2017/03/14/wewibe/
А сегодня работая в области IoT, "интернет вещей", совсем не удивляюсь этому
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar »

В общем, как обычно, возможные меры противодействия сводятся к предотвращению физического доступа к компу АТМ (защита инженерной зоны и блокировка всех устройств ввода/вывода системника: CD, USB, клавиатура/мышь). Ну и, само собой, сетевая безопасность.
Надеюсь, ещё не придуман способ внедрения вредоносного кода при чтении чиповой карты в режиме обслуживания клиентов)
Аватара пользователя
FineSky
Сбербанк
Сбербанк
Сообщения: 113
Зарегистрирован: 19 сен 2010, 22:36
Авто: ТАЗ
Откуда: Северный Медведь

Re: какого бреда только не напишут.

Непрочитанное сообщение FineSky »

Наверно они пытались вот эту статью переварить, но не получилось.
Не трогай! Пока не сломал.
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar »

В статье всё очень подробно и "важно" расписано, но где-то странице на третьей есть маленький абзац "получение доступа к банкоматам", откуда можно узнать, что они удаленно администрировались с помощью Remote Desktop. После чего всё предыдущее уже непринципиально)
Venique
Местный
Сообщения: 140
Зарегистрирован: 01 апр 2016, 22:29

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique »

nonpar, да абзац как бы не маленький, там просто всё по этапам расписывали и атака через RDP - один из, просто является одним из основополагающих. Нет RDP - нет инъекции, но только в том случае, если злоумышленники не смогут выявить другие активные каналы доставки данных до банкомата. Ну и в конце чёрным по белому написано, что даже банальное обновление ПО может защитить от эксплоитов на основе этого пакета для пин-тестов. Понятно, что это рекламный пост, но написано по делу, всяко лучше, чему наших журнализдов.

FineSky, спасибо за ссылку! :good:
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение nonpar »

Venique писал(а):выявить каналы доставки данных до банкомата
А чего их доставлять - их каждое NDC-сообщение с хоста доставляет. Важно запустить вредоносный код) Использовать на таких устройствах любые формы удаленного доступа к запуску кода, ЗНАЯ ОБ ЭТОМ - всё равно что уповать на совершенство замка, врезанного в стеклянную дверь)
Gn00
Специалист
Сообщения: 282
Зарегистрирован: 19 авг 2014, 17:41

Re: какого бреда только не напишут.

Непрочитанное сообщение Gn00 »

Если на морде банкомата не писать его номер, то можно существенно усложнить задачу мошенникам.
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение central »

Gn00, у них доступ к мониторингу. Там адреса написаны.
TROUBLE-SHOOTER
Venique
Местный
Сообщения: 140
Зарегистрирован: 01 апр 2016, 22:29

Re: какого бреда только не напишут.

Непрочитанное сообщение Venique »

nonpar, а как через NDC-сообщение батник передать? :)
abcbanker
Новичок
Сообщения: 40
Зарегистрирован: 11 ноя 2015, 05:12

Re: какого бреда только не напишут.

Непрочитанное сообщение abcbanker »

FineSky писал(а):Наверно они пытались вот эту статью переварить, но не получилось.
Вы ошибаетесь. Произошел испорченный телефон.
Исходная статья попала сначала на страницы зарубежных СМИ с "добавленными подробностями", откуда перекочевала в рассылке NCR
NCR is aware of the reported emergence of a new variation of ATM malware that has been reported by a security solution firm.
И уже оттуда потекло по рунету.

Добавлено спустя 6 минут 45 секунд:
mikle писал(а):ATM infector
Про это и в русскоязычном есть.
Аватара пользователя
FineSky
Сбербанк
Сбербанк
Сообщения: 113
Зарегистрирован: 19 сен 2010, 22:36
Авто: ТАЗ
Откуда: Северный Медведь

Re: какого бреда только не напишут.

Непрочитанное сообщение FineSky »

Venique, это вопрос будущих технологий. Пока есть удаленный доступ к банкоматам, с возможность отправки исполняемых файлов, отправлять по NDC не требуется.
Проверка целостности ПО спасает от несанкционированного запуска «левых» программ. Но толку от этого мало, если есть функция удаленного отключения. От такого вида атак, спасет только полное отключение удаленного доступа. Имея более 1К банкоматов, удаленный доступ никто отключать не будет. Ноги отсохнут обновления ставить (или денег на бегунов не хватит). А если у банка около 10 банкоматов, то не особо интересно их ломать.
abcbanker
Возможно. Статьи на иностранных языках я не читаю, т.к. не владею ими. С момента атак прошло больше чем полгода. Понятно, что за это время появилось куча перепечаток. На хабре мне статья понравилась. Откровенной "лажи" в ней нет, а если есть какие-то неточности, то достоверную информации с полным описанием все равно никто не выложит в открытый доступ.
Не трогай! Пока не сломал.
booby
Специалист
Сообщения: 391
Зарегистрирован: 21 янв 2013, 07:14
Поблагодарили: 1 раз

Re: какого бреда только не напишут.

Непрочитанное сообщение booby »

Насчет бесфайловых вирусов - в Винде давно есть такая шняга, которая позволяет создавать на удаленном компьютере процесс без копирования исполняемого файла на его диск. Поэтому весь этот хайп имеет скорее маркетинговую природу.
А то, что кулхацкеры атакуют банкоматные сети - ну так если банкомат есть сетевой компьютер под Виндой, то почему бы его не атаковать. Тут и XFS к месту, так как упрощает разработку софта для управления аппаратными модулями банкоматов от различных производителей.
Ответить