Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для...

21
Вредоносные программы для финансовых институтов Сергей Голованов Ведущий антивирусный эксперт [email protected] https://twitter.com/k1k_

Transcript of Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для...

Page 1: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Вредоносные программы для финансовых институтов

Сергей Голованов Ведущий антивирусный эксперт [email protected] https://twitter.com/k1k_

Page 2: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Моё рабочее место

Page 3: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Содержание

3

1.ВРЕДОНОСНЫЕ ПРОГРАММЫ ДЛЯ БАНКОМАТОВ

2.АТАКА НА ИНФРАСТРУКТУРУ "БАНКА"

3.АТАКИ НА ПЛАТЁЖНЫЕ ТЕРМИНАЛЫ

Page 4: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Video 0. Mario.

Page 5: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Схема атаки на банкоматы

Page 6: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

тюпкин

Page 7: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Video 1. ATM. Tyupkin in action.

Page 8: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Вредоносные программы для банкоматов

11

March 2009

March 2012

October 2013

November 2013

December 2013

March 2014

April 2014

December 2014

March 2015

Backdoor.Win32.Skimer

Trojan-Spy.Win32.SPSniffer

Trojan-Banker.MSIL.Atmer (Ploutus)

Trojan.Win32.Brob (Virus?)

Backdoor.Win32.SkimerNC

Backdoor.Win32.Tyupkin

Backdoor.Win32.NeoPacket (VB.ww)

Backdoor .Win32.Atmmng

Backdoor.Win32.Atmdelf (Skimmer.w) + Sucsefl + 1!

Page 9: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Модель угроз

12

Объекты кражи: 1. Деньги 2. Данные с карт

Способы кражи: 1. Скиммеры 2. Физическая кража/подрыв 3. Вредоносные программы

Методы атаки с помощью вредоносных атак: 1. Атака из внуртенней сети банка (Карбанак) 2. Атака с заменой оборудования (Черная/Белая Коробка) 3. Атака через сменные носители (Всё остальное)

Page 10: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

13

Page 11: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Video 2. ATM. Carbanak.

Page 12: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

• ATM • Oracle DB • Connections • E-banking

Page 13: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Video 3. Onlinebank. Carbanak.

Page 14: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

19 Mobile World Congress 2013

Page 15: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

+2

Page 16: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"
Page 17: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Вредосносные программы для платёжных терминалов

22

2010

2011

2012

2013

2013

2014

2015

• Trojan-Spy.Win32.POS (CardStealer)

• Backdoor.Win32.Desty (Dexter)

• Trojan-Spy.Win32.Vskim (vSkimmer)

• BlackPOS (modified CardStealer)

• Trojan.Win32.Fsysn (Chewbacca)

• Backdoor.Win32.Backoff (Backoff)

• LogPOS, Punkey, POSeydon, FindPOS, Carbanak & etc. 22

Page 18: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

+2

Page 19: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Содержание

24

1.ВРЕДОНОСНЫЕ ПРОГРАММЫ ДЛЯ БАНКОМАТОВ

2.АТАКА НА ИНФРАСТРУКТУРУ "БАНКА"

3.АТАКИ НА ПЛАТЁЖНЫЕ ТЕРМИНАЛЫ

Page 20: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

Video 4. ATM. GAZ.

Page 21: Defcon Moscow #0x0A - Sergey Golovanov "Вредоносные программы для финансовых институтов"

СПАСИБО!

27

Сергей Голованов Ведущий антивирусный эксперт [email protected] https://twitter.com/k1k_


92; ' # '8& *#9 &4 Power Quality Impact of High Capacity End-Users N. Golovanov 1, G. C. Lazaroiu 2, Student Member, IEEE , M. Roscia 3 and D. Zaninelli, Senior Member, IEEE 1Department

92; ' # '8& *#9 &4 Power Quality Impact of High Capacity End-Users N. Golovanov 1, G. C. Lazaroiu 2, Student Member, IEEE , M. Roscia 3 and D. Zaninelli, Senior Member, IEEE 1Department

INTERNET SECURITY - ESET NOD32download.esetnod32.ru/overviews/home/windows/EIS_2018.pdfНаходит вредоносные скрипты на JavaScript, атакующие через

INTERNET SECURITY - ESET NOD32download.esetnod32.ru/overviews/home/windows/EIS_2018.pdfНаходит вредоносные скрипты на JavaScript, атакующие через

Internet Engineering Task Force (IETF) F. Zhang, Ed. · PDF fileThis document is a product of the Internet Engineering Task Force (IETF). ... 0x0A 60 STM-1 G.709 ODUk ... 0x16 64 SDI/1.001

Internet Engineering Task Force (IETF) F. Zhang, Ed. · PDF fileThis document is a product of the Internet Engineering Task Force (IETF). ... 0x0A 60 STM-1 G.709 ODUk ... 0x16 64 SDI/1.001

p59 0x0a Execution Path Analysis Finding Kernel Rootkits by J.K.rutkowski

p59 0x0a Execution Path Analysis Finding Kernel Rootkits by J.K.rutkowski

Swapping the Byte Order in a Siemens PLC or Allen-Bradley ... · c. HIGH/LOW Order Mode, which is Byte Swap, will swap from Source 0x0A 0x0B 0x0C 0x0D to Dest 0x0B 0x0A 0x0D 0x0C.

Swapping the Byte Order in a Siemens PLC or Allen-Bradley ... · c. HIGH/LOW Order Mode, which is Byte Swap, will swap from Source 0x0A 0x0B 0x0C 0x0D to Dest 0x0B 0x0A 0x0D 0x0C.

Max Artved 557361bk USA 26/8/04 7:30 pm Page 4 MUSIC FOR ... · Mozart • Crusell • J.C. Bach Max Artved, Oboe • Elise Båtnes, Violin Tue Lautrup, Violin/Viola • Dimitri Golovanov,

Max Artved 557361bk USA 26/8/04 7:30 pm Page 4 MUSIC FOR ... · Mozart • Crusell • J.C. Bach Max Artved, Oboe • Elise Båtnes, Violin Tue Lautrup, Violin/Viola • Dimitri Golovanov,

ICND1 0x0A Protocole IPv6

ICND1 0x0A Protocole IPv6

shar.eprocure.isro.gov.in · Web viewCDT-1 Sync difference byte-3 upper nibble In ascii CDT-1 Sync difference byte-3 lower nibble In hex 0x0d In hex 0x0a Frame end byte Table-3: Remote

shar.eprocure.isro.gov.in · Web viewCDT-1 Sync difference byte-3 upper nibble In ascii CDT-1 Sync difference byte-3 lower nibble In hex 0x0d In hex 0x0a Frame end byte Table-3: Remote

Вредоносные программы В Интернете72.mvd.ru/upload/site73/ccd7af65fb57ef7a88caf328f56a86f7.pdfИнтернет называют «миром новых

Вредоносные программы В Интернете72.mvd.ru/upload/site73/ccd7af65fb57ef7a88caf328f56a86f7.pdfИнтернет называют «миром новых

Drindex-of.es/Hacking/Anti-Virus Scanners/drweb-500-win-ru.pdf · Приложение d. Вредоносные программы и способы их обезвреживания.

Drindex-of.es/Hacking/Anti-Virus Scanners/drweb-500-win-ru.pdf · Приложение d. Вредоносные программы и способы их обезвреживания.

Вредоносные программы В Интернетеyunnat-01.gov67.ru/files/434/documentsviewer-7.pdf · В Интернете равила поведения П в Интернете

Вредоносные программы В Интернетеyunnat-01.gov67.ru/files/434/documentsviewer-7.pdf · В Интернете равила поведения П в Интернете

GOLEM Integrated Microelectronics Solutions GmbH Serguei ......GOLEM Integrated Microelectronics Solutions GmbH Serguei Golovanov, PhD, Dipl.Eng info@golem.at Workshop 2: Circular

GOLEM Integrated Microelectronics Solutions GmbH Serguei ......GOLEM Integrated Microelectronics Solutions GmbH Serguei Golovanov, PhD, Dipl.Eng [email protected] Workshop 2: Circular

IPv6 0x0A Securite IPv6

IPv6 0x0A Securite IPv6

AR6000 command list - AOR · All the control commands for the LAN interface are the same as the USB control commands. 6 ... (0x20, 0x0d, 0x0a) to a

AR6000 command list - AOR · All the control commands for the LAN interface are the same as the USB control commands. 6 ... (0x20, 0x0d, 0x0a) to a

Defcon Moscow #0x0A - Dmitry Nedospasov "WTFPGA?!"

Defcon Moscow #0x0A - Dmitry Nedospasov "WTFPGA?!"

AR5001D Command List - AOR€¦ · All the control commands for the LAN interface are the same as the USB control commands. ... (0x20, 0x0d, 0x0a) to

AR5001D Command List - AOR€¦ · All the control commands for the LAN interface are the same as the USB control commands. ... (0x20, 0x0d, 0x0a) to

WizFi250 Programmer's Guide - GitHub Pages · and 'Enter Key' which should be CR(0x0d), but nether CRLF(0x0d, 0x0a) nor LF(0x0a). Some parameters are mandatory and the others are

WizFi250 Programmer's Guide - GitHub Pages · and 'Enter Key' which should be CR(0x0d), but nether CRLF(0x0d, 0x0a) nor LF(0x0a). Some parameters are mandatory and the others are

HACKINGTEAM AND GAMMA INTERNATIONAL IN “BUSINESS-TO-GOVERNMENT … · 2013-10-11 · HACKINGTEAM AND GAMMA INTERNATIONAL IN “BUSINESS-TO-GOVERNMENT MALWARE” Sergey @k1k Golovanov,

HACKINGTEAM AND GAMMA INTERNATIONAL IN “BUSINESS-TO-GOVERNMENT … · 2013-10-11 · HACKINGTEAM AND GAMMA INTERNATIONAL IN “BUSINESS-TO-GOVERNMENT MALWARE” Sergey @k1k Golovanov,

Memory Exploits & Defenses - Computer Sciencefabian/courses/CS600.624/slides/...•terminator (0x00, 0x0a, 0x0d) •random •Check validity of Canary before returning Canary (2) This

Memory Exploits & Defenses - Computer Sciencefabian/courses/CS600.624/slides/...•terminator (0x00, 0x0a, 0x0d) •random •Check validity of Canary before returning Canary (2) This

Aquisição rápida de sinais no tempo - UFPR · numeração dos pulsos SCL como contagem dos ciclos de clock. O dado lido é 0x0A. c) Determine a máxima taxa de amostragem possível

Aquisição rápida de sinais no tempo - UFPR · numeração dos pulsos SCL como contagem dos ciclos de clock. O dado lido é 0x0A. c) Determine a máxima taxa de amostragem possível