Вектор вирусных атак. Как защитить терминалы и банкоматы?

 ВЛАДИМИР ДНЕПРОВСКИЙ, аналитик компании «Доктор Веб»

Вектор вирусных атак
Как защитить терминалы и банкоматы?

Терминалы экспресс-оплаты – явление, встречающееся почти исключительно на постсоветском пространстве. За рубежом давно уже реализованы более совершенные схемы расчетов, преимущественно безналичные

Суть проблемы

Появившиеся во второй половине 90-х годов банкоматы и терминалы экспресс-оплаты давно стали привычным явлением. Проводя платеж, мало кто задумывается над технической составляющей этого процесса. Для понимания проблемы разберемся, что же представляют собой эти агрегаты.

По сути, это обычный компьютер с процессором на базе архитектуры x86 и дешевой материнской платой. От настольного ПК его отличает отсутствие традиционных устройств ввода (клавиатуры с мышью) и специфическая периферия для приема/выдачи наличных и печати чеков. Программной средой, установленной на такие устройства, оказывается, по большей части, привычная Windows XP или модификация XP Embedded.

В прошлом программное окружение терминалов и банкоматов было более разнообразным – некоторые автоматы работали под управлением Windows 98, WinNT 4.0, OS/2, даже MS-DOS со специальными расширениями. Другие устройства были основаны на иной архитектуре. Сегодня такая «экзотика» почти не встречается. Незначительное число современных банкоматов работает под управлением ОС Linux.

На терминал установлено специальное программное обеспечение для обслуживания клиентов и взаимодействия с периферией. Часто такое ПО находится в открытом доступе на сайте производителя.

Между сетями банкоматов и терминалов экспресс-оплаты существуют значительные различия. Современные сети банкоматов в отличие от терминалов изолированы и являются частью внутренней банковской сети. Впрочем, так было не всегда: еще несколько лет назад на экранах банкоматов систематически можно было наблюдать предупреждение антивируса о попытке проникновения того или иного сетевого червя.

Рисунок 1. BSOD на терминале экспресс-оплаты

Сеть терминалов чаще всего не является изолированной, она имеет доступ в Интернет, а в качестве средства связи с сервером используется, как правило, обычный GSM/GPRS-модуль. При этом не всегда используется VPN/SSL. Иногда применяется криптопротокол собственной реализации.

Все эти обстоятельства позволяют охарактеризовать ситуацию с информационной безопасностью терминалов экспресс-оплаты как тревожную. При этом через терминалы проходит колоссальный оборот денежных средств, что не могло не вызвать интерес злоумышленников.

В частности, всем перечисленным условиям соответствуют терминалы одной из крупнейших платежных систем, название которой фигурировало в СМИ в связи с обнаружением Trojan.PWS.OSMP.

Доступное программное обеспечение, легко поддающееся анализу и модификации, распространенная операционная система, публичные каналы связи делают тривиальной задачей для злоумышленников разработку вредоносного ПО под эту платформу, что и было осуществлено в случае с Trojan.PWS.OSMP.

Предыдущие инциденты. Сети банкоматов

Как известно, к сетям банкоматов, к ПО, установленному на банкоматах, к уровню их обслуживания предъявляются достаточно серьезные требования безопасности, закрепленные нормативными актами в разных странах и актуальные для всего банковского оборудования. Присутствуют необходимые стандарты безопасности и устойчивости для каналов связи, требования к физическим параметрам оборудования и т.п. В целом банкомат считается существенно более защищенным узлом, нежели платежный терминал, в т.ч. в силу сопряженных с его эксплуатацией рисков.

Инциденты с участием оборудования платежных и банковских систем неоднократно случались и в прошлом.

В 2003 году массовый отказ в обслуживании банкоматов вызвали сетевые черви Win32.SQL.Slammer.376 и Welchia (Nachi, Win32.HLLW.LoveSan.2), и, хотя банкоматы не являлись их целью, данные эпизоды продемонстрировали уязвимость банковских систем как таковых.

Win32.SQL.Slammer.376 использовал для распространения уязвимость MS SQL Server 2000. Червь поставил рекорд по скорости распространения, вдвое превзойдя предыдущего рекордсмена – Win2K.CodeRed.3569. Он проникал на компьютеры через уязвимость переполнения буферов, для чего на атакуемый компьютер посылался нестандартный запрос, при обработке которого система автоматически выполняла и содержащийся в запросе код червя. После заражения сервера Slammer в бесконечном цикле предпринимал попытки распространения, рассылая свои UDP-запросы на случайно выбранные адреса в сети.

При этом был создан значительный паразитный трафик. Проникнув в изолированную сеть банкоматов, червь продолжил работу по этой схеме. Специализированная сеть не имела достаточного резерва пропускной способности, чтобы сохранить работоспособность в таких условиях. Распространение червя привело к отказу в обслуживании 13 тысяч банкоматов Bank of America и неизвестного числа банкоматов канадского Imperial Bank of Commerce.

Червь Welchia (Win32.HLLW.LoveSan.2) задумывался злоумышленниками как механизм противодействия оригинальному Win32.HLLW.LoveSan. При инсталляции на компьютере жертвы осуществляется поиск и удаление этого червя, после чего устанавливается заплатка на уязвимость, приведшую к внедрению Win32.HLLW.LoveSan.

Идея такого вируса не нова. Неоднократно предпринимались попытки реализации (например, т.н. CodeGreen – противоядие от известного серверного червя Win2K.CodeRed.3569). Критика идеи «полезных» вирусов (компрессоров, вакцин, антивирусов, апдейтов ОС) изложена в работах идеологов антивирусной индустрии В. Ботчева и Ф. Коэна. При этом были получены выводы, согласно которым, в частности, неконтролируемость вируса исключает возможность его осмысленного полезного применения, а побочные эффекты (паразитный трафик, ошибки) перекрывают полезную нагрузку. В этот раз все тоже случилось в полном соответствии с теорией. Червь поразил банкоматы нескольких банков на территории США и Канады, которые в поисках уязвимости RPC DCOM, через которую распространялся вирус, на других доступных адресах исчерпали возможности каналов связи, тем самым осуществив DDoS-атаку на сеть банкоматов. Следует отметить, что это не единственный подобный инцидент с участием червя Welchia.

В обоих случаях, несмотря на то что большинство сетей банкоматов формально функционирует изолированно от Интернета, троянцы проникали либо через дополнительное подключение, оставленное для технических нужд, либо через уже инфицированные ноутбуки обслуживающего персонала.

В марте 2009 года была обнаружена троянская программа Trojan.Skimer, собиравшая информацию о кредитных картах и PIN-кодах. Существует несколько модификаций Trojan.Skimer. Ранние версии маскируются под системную утилиту IsAdmin.

Троянец создает файл %windir%\lsass.exe, в который помещает свой основной код. Впоследствии троянец подменяет с помощью него системный сервис ProtectedStorage. При этом в системе появляется второй поддельный процесс lsass.exe.

Троянский сервис перехватывает и сохраняет информацию о проведенных транзакциях в файлы %windir%\trl2, а информацию о перехваченных PIN-кодах в %windir%\k1.

Последующие версии используют другой механизм установки в систему, при этом программа-инсталлятор Trojan.Skimer обновляет предыдущую версию.

Сначала из памяти и диска удаляется старая версия поддельного lsass.exe. Затем данные по транзакциям и PIN-кодам, накопленные в процессе эксплуатации предыдущих версий Trojan.Skimer, переносятся из файлов %windir%\trl2 и %windir%\k1 в файлы:

• %windir%\greenstone.bmp:redstone.bmp;
• %windir%\greenstone.bmp:bluestone.bmp,

соответственно для NTFS (для более надежного сокрытия деятельности троянца авторы применили файловые потоки). И в файлы:

• %windir%\redstone.bmp;
• %windir%\bluestone.bmp,

для остальных файловых систем.

Далее троянский инсталлятор внедряет динамическую библиотеку в сервис LogWriter. При этом проверяется адрес точки входа модуля, если она не соответствует стандартному системному значению, инсталлятор рассматривает это как вирусный маркер и прекращает установку. В противном случае в образ модуля сервиса внедряется загрузчик троянской библиотеки, и сервис перезапускается. Сама библиотека сохраняется в файловом потоке <имя сервиса>:pwstr.dll.

Наконец, инсталлятор внедряет и выполняет в контексте процесса explorer.exe код, удаляющий файлы %windir%\Prefetch\<имя установщика>-*.pf, скрывая следы своей работы.

После установки в память троянец раз в секунду опрашивает состояние банкомата на предмет подачи новой карты.

Управление троянцем осуществляется с помощью специальных электронных карт, номера которых генерируются по особому алгоритму, зашитому в коде троянца. Карты с такими номерами бывают двух видов – супервизорские и с ограниченной функциональностью. Карты супервизора предоставляют пользователю главное меню троянца, через которое можно активировать с клавиатуры банкомата заданные операции – удаление троянца, вывод системной информации и статистики, распечатка этой информации на чеке, запись ее на установленную в банкомат карту, очистка собранных данных, перезагрузка и т.п. Присутствует группа команд, активируемых дополнительным кодом, которая позволяет извлечь из банкомата наличность.

Таким образом, еще одной отличительной чертой Trojan.Skimer является механизм обратной связи со злоумышленниками при отсутствии традиционных для такого рода ПО каналов связи.

Карта с ограниченной функциональностью предусматривает возможность только одного из этих действий.

Очевидны глубокие познания злоумышленников во внутреннем устройстве объекта атаки. Поступила информация о заражении терминального оборудования сразу нескольких российских банков. Во всех расследованных случаях не обошлось без человеческого участия. В некоторых случаях речь шла об инсайдерах, в частности сообщалось, что  злоумышленниками был приобретён служебный ключ к компьютерному отсеку банкомата. При этом троянец внедряли лица, имеющие доступ к внутренностям терминала. По факту установки троянца были возбуждены уголовные дела в Перми и Санкт-Петербурге.

В 2010 году по сообщениям СМИ в Якутске имела место установка троянского ПО на банкоматы в целях хищения средств со счетов клиентов банков и их последующего обналичивания. В число участников преступного сообщества входили системный администратор одного из городских НИИ и ИТ-директор одного из местных банков, который обеспечил возможность установки троянца.

Троянская программа позволяла получать данные кредитных карт, по которым производились операции, и переводить деньги со счетов этих карт на счета злоумышленников. Впоследствии третий соучастник снимал со счетов наличные. Троянский код был приобретён на стороне. Предположительно, это также была модификация Trojan.Skimer.

Как видно из анализа перечисленных вирусных эпизодов, основной причиной успешных вирусных атак на сети банкоматов оказывается человеческий фактор. Троянское ПО попадает в изолированные сети банкоматов с попустительства персонала, по неосторожности или по злому умыслу. При этом техническую составляющую безопасности сетей банкоматов можно, по всей видимости, считать удовлетворительной.

Trojan.PWS.OSMP. Технические детали

Заражение терминалов происходит в два этапа. Сначала на терминал попадает BackDoor.Pushnik. Троянец представляет собой запакованный исполняемый файл размером ~620 Кб, написанный на Delphi. Он распространяется через сменные носители и, вероятно, через сетевые диски. Далее троянец получает управляющие данные со своих командных центров и через несколько промежуточных шагов загружает и запускает бинарный файл размером 60-70 Кб, содержащий Trojan.PWS.OSMP.

Trojan.PWS.OSMP перечисляет запущенные процессы и ищет процесс maratl.exe, являющийся частью программного окружения платежных терминалов. Данный файл представляет собой конгломерат кода и данных размером 4,6 Мб, интегрирующий в себе функциональность для работы с фискальным регистратором, диспенсером и кард-ридером. Все необходимое для работы программы размещено в секции ресурсов.

Там же можно разглядеть hex-редактором вложенные исполняемые файлы, которые maratl.exe извлекает по мере необходимости.

Рисунок 2. Внутренности maratl.exe

Приведенный дамп показывает, что в файле отсутствуют признаки упаковки или обфускации кода. Trojan.PWS.OSMP внедряется в процесс и изменяет счет получателя непосредственно в памяти процесса, подставляя счета злоумышленников.

Рисунок 3. Вложенная библиотека sos.dll

Последняя зафиксированная версия троянца реализует другую схему мошенничества. Trojan.PWS.OSMP копирует на свой сервер конфигурационный файл данного ПО. При этом в политиках брандмауэра maratl.exe, от имени которого действует троянец, будет (предположительно) доверенным приложением с необходимыми для сетевой активности разрешениями.

Следует отметить, что разработчики троянца могут применить и более неожиданные способы обратной связи. Многие GSM/GPRS-модули поддерживают возможность получения и отправки СМС.

Кража конфигурационного файла платежного терминала предполагает попытку создания поддельного терминала на компьютере злоумышленников, что должно позволить перенаправление безналичных денежных средств на счета разработчиков троянца.

Рисунок 4. Вложенный flash-проигрыватель

Администрация ОСМП признает факт существования угрозы, но не верит в нее. При этом сотрудники ОСМП апеллируют к многоуровневой системе защиты, используемой в сетях компании. Речь идет о вышеупомянутых брандмауэрах, антивирусных средствах, фрод-мониторинге, при котором отслеживаются операции с часто пополняемыми счетами. Остается понять, каким образом на столь эффективно защищенное оборудование проник флешечный червь BackDoor.Pushnik, в основе работы которого лежит ставшая притчей во языцех уязвимость autorun.inf на сменных носителях, устраняемая изменением пары записей в реестре.

Рисунок 5. Затруднительно ограничить брандмауэром программу с такой функциональностью, не нарушив работу терминала

Прогнозы

В настоящий момент серверы, используемые троянцами BackDoor.Pushnik и Trojan.PWS.OSMP, сохраняют работоспособность. Ботнет, реализованный на базе этих троянских программ, продолжает совершенствоваться и усложняться. Предположительно осваиваются и новые версии открытого ПО платежных терминалов. Очевидных препятствий для этой и подобных угроз пока нет.

Проблема могла бы быть решена с привлечением аналогичного опыта, полученного при построении сетей банкоматов. В таких сетях уже давно реализованы меры безопасности, позволяющие эффективно противостоять различным, в том числе и вирусным, атакам. Однако специфика сетей терминалов не предполагает их скорейшей модификации. Действительно, необходимость прокладки защищенного канала связи к каждому терминалу, находящемуся порой в труднодоступном и просто неожиданном месте (например, в небольшом магазине в полуподвальном помещении), вызывает ряд вопросов, прежде всего о целесообразности такой модификации.

С другой стороны, известно, что сами по себе терминалы экспресс-оплаты – явление, встречающееся почти исключительно на постсоветском пространстве. За рубежом давно уже реализованы более совершенные схемы расчетов, преимущественно безналичные. Предстоящий выпуск единой платежной карты может как поставить точку в эксплуатации терминалов, так и сместить векторы вирусных атак на новую цель. В любом случае интерес хакеров к терминальному оборудованию платежных и банковских систем едва ли угаснет в ближайшем будущем.

Комментарии могут оставлять только зарегистрированные пользователи