3. Киберпреступность: недавнее прошлое
Разработчики Актив Результат
Инструменты
атак Слава
Скомпрометиро-
ванные хост или
приложение Кража
Вредоносное ПО
Черви
Шпионаж)
Скомпрометиро-
Вирусы ванное
окружение
Трояны
4. Эволюция угроз
Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
5. Эволюция тактики реализации угроз
Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
6. Киберпреступность: настоящее
Атаки первой Атаки второй
Разработчики волны Посредники Результат
волны
Инструменты Прямая атака Слава
атак от хакера
Атака на отдельные
системы и
приложения
Шпионаж
Вредоносное ПО
Создание
Заражение ботнетов DDoS
Вымогательство
Черви
Рассылка
Вирусы Спама Месть
Управление ботнетом:
Аренда, продажа Реклама
Трояны Фарминг,
Фишинг/ Сбор DNS Poisoning Мошеннические
информации продажи
Шпионское
ПО Кража
информации Накручивание
Продажа
информации кликов
Мошенничество
$$$ Финансовые потоки $$$
9. Где деньги – там бизнес… и бизнес-модели!
• Бизнес-модель – это стратегический план, который претворяется
в жизнь через организационные структуры, процессы и системы
– Говоря о киберпреступности, обычно рассматриваются все эти
элементы по отдельности
• Бизнес-модель состоит из 9 обязательных элементов
– Потребительский сегмент
– Ценностное предложение
– Каналы сбыта
– Взаимоотношения с клиентами
– Потоки поступления доходов
– Ключевые ресурсы
– Ключевые виды деятельности
– Ключевые партнеры
– Структура издержек
10. Шаблон бизнес-модели
Ключевые Ключевые Ценностные Взаимоотношения Потребительские
партнеры виды деятельности предложения с клиентами сегменты
Ключевые Каналы сбыта
ресурсы
Структура издержек Потоки поступления доходов
11. Потребительские сегменты
• Клиенты – сердце любой бизнес-модели
– Киберпреступники
• Владельцы ботнетов
• Спамеры
• Кардеры
• Мулы (дропперы)
• Разработчики вредоносного ПО и т.д.
– Компании, покупающие информацию об уязвимостях
– Компании-производители продуктов и услуг
• Потребности (для киберпреступников)
– Быстрота
– Скрытность
– Автоматизация
– Гибкость
12. Ценностное предложение
• Какие товары и услуги представляют ценность для каждого
потребительского сегмента?
– Какая ценность предлагается потребителю?
– Какие проблемы помогают решить потребителю?
– Какие потребности удовлетворяются?
– Какие продукты и услуги предлагаются потребителю?
13. В чем ценность продуктов для киберпреступников?
• Новизна и инновации
• Производительность
• Изготовление на заказ
• Доработка и поддержка
• Скрытость
– Заказа и работы покупаемого продукта
• Автоматизация, удобство, гибкость
• Концентрация на профильном бизнесе – остальное делает заказчик
• Цена
– Снижение расходов (хостинг, сдача в аренду бот-сетей и т.п.)
• Снижение рисков (хостинг в «толерантных» странах)
• Доступность
– Для новых категорий клиентов (автоматизация и тулкиты)
14. Пример: инновации в спаме
• Рост сложности
– Фокусировка
– Скрытые ссылки
• Новые вектора
– SMS vishing
– IM SPAM (SPIM)
– Социальные сети
• Социальный инжиниринг
• 50% пользователей
открывают спам или
кликают по ссылкам в
нем
15. Спам vs фишинг
• Объем спама снижается
• Объем фишинга растет
• Целевые атаки на более
ценные объекты более
выгодны
19. Каналы сбыта
• Собственные / Партнерские
• Прямые – большая прибыль, но дороже организация и
управление
– Торговые агенты
– Продажи через Интернет
• Непрямые – меньшая прибыль, но больший охват
– Фирменные магазины
– Партнерские магазины
– Оптовики
20. Простая реклама инструментов рассылки спама
• Еще в 2003г. появились коммерческие программы для рассылок
спама, такие как: Dark, Revolution и Reactor Mailer
22. Установка фальшивого антивируса через партнеров
• Установка adware через ботнет – $0.3-1.5 за одну копию ПО
• Установка malware через ботнет – от $3 (CH) до $140 (US)
23. Пример: партнерская сеть Bakasoftware
• Партнерская сеть по продаже
scareware Day 1
– Рекламируется на GlavMed Day 2
Day 3
• Партнеры загружают Day 4
scareware на зараженные Day 5
компьютеры и получают Day 6
комиссию 60% c продаж Day 7
Day 8
– Русские IP не заражаются
Day 9
• Объем продаж за десять дней Day 10
$147K (154 825 установки и 2 Total
772 продажи)
– Платит 1-2% зараженных
пользователей
Статистика продаж Bakasoftware
за 10 дней
• $5M в год
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
24. Взаимоотношения с клиентами
• Мотивация взаимоотношений
– Приобретение клиентов
– Удержание клиентов
– Увеличение продаж
• Типы взаимоотношений
– Персональная поддержка
– Особая персональная поддержка
– Самообслуживание
– Автоматизированное обслуживание
– Сообщества
28. Потоки поступления доходов
• За что готовы платить потребители?
• Типы доходов
– Разовые сделки
– Регулярный доход от периодических платежей, получаемых от
клиентов за ценностные предложения или постпродажное
обслуживание
• Виды
– Продажа активов
– Плата за использование
– Оплата подписки
– Аренда/лизинг
– Лицензии
– Процент от сделки
– Реклама
31. Монетизация Koobface
• Вредоносный код перехватывает учетные записи пользователей
в социальных сетях и рассылает вредоносные ссылки
• Вредоносный код «говорит» пользователю, что он инфицирован и
должен приобрести антивирус для лечения его ПК
32. Разные доходы от одного продукта – ботнета
DDoS
Сдать в
аренду Рассылка
спама
Создание Установка Продажа
Ботнет Использовать PAN
ботнета scareware
Кража Продажа
данных account
Продать
Продажа
Стоимость Фишинг ПДн
$0.5 за бот для небольших ботнетов
$0.1-0.3 за бот для крупных ботнетов
Поисковый
Аренда спам
$2000 в месяц за 1000 писем в минуту
33. Ценообразование
• Фиксированные цены
Учетная
– По прайс-листу запись в
– В зависимости от характеристик продукта/услуги банке
– В зависимости от потребителя
– В зависимости от величины закупки Украсть Продать
• Свободные цены деньги учетную
самому запись
– Договорная цена
– Управление доходами
– Аукцион Фиксированная % от суммы
цена ($1-1500) на счете
Цена на запись
зависит от
количества
34. Немного цифр
• Стоимость DDoS-атаки
– От $50 до $1000-2000 в сутки
• Стоимость ПДн
– Жителя США/Канада – $5-8
– Жителя Евросоюза – $10-15
• Стоимость e-mail
– $20-100 за базу из 1М адресов электронной почты
– Стоимость спамерской рассылки – $150-200 на 1М адресов
• Стоимость учетных записей платных ресурсов
– $7-15 за учетную запись популярного онлайн-магазина
• Аренда FastFlux-хостинга – $1000-2000 в месяц
• 16-17% кликов по рекламным ссылкам мошеннические
• Редиректы - $0.5-1 за тысячу пользователей
37. Деньги играют важную роль, но есть и другие мотивы
Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez
террористы воины malware школа kiddies D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M
• Отсутствие желания заработать не означает отсутствие бизнес-
модели
– Anonymous, Lulzsec демонстрируют это в полной мере
39. Ресурсов надо не так много – их можно купить
• Smartbot.Net Malware
– Opened CD-ROM tray
– “If your cd-rom drive’s open . . .you
desperately need to rid your system of
spyware pop-ups immediately! Download
Spy Wiper now!”
– Spy Wiper продавался за $30
• Рассылка спама через
Twitter/Facebbok/MySpace
– Фишинг и кража паролей
– Заработок свыше $500K
Сэнфорд Вуоллэс
42. Производство и разрешение проблем
Mpack как коммерческий проект основан в 2006г. тремя Русскими
программистами.
Стоимость продукта с годовой подпиской на обновления $500 – $1000
Q: Как вы получаете эксплойты?
A: Для нашего продукта мы используем два основных метода:
1. Друзья присылают нам любые материалы найденные в Интернете,
купленные, или полученные от других.
2. Анализ публично анонсированных уязвимостей и POC-эксплойтов.
Иногда мы платим за эксплойты. Средняя цена за zero-day уязвимость в
Internet Explorer составляет $10 000 в случае хорошей эксплуатации.
Q: Ощущаете ли вы чувство вины перед жертвами заражений?
A: Я ощущаю, что мы лишь фабрика по производству оружия.
Источник: http://www.securityfocus.com/news/11476
44. SaaS для киберпреступности
• Проверка вредоносного кода на проверку набором антивирусов
• Снижение рисков обнаружения
45. Ключевые партнеры
• Оптимизация и экономия в сфере производства
• Снижение риска и неопределенности
• Поставки ресурсов и совместная деятельность
• Типы партнеров
– Abuse-хостеры
– Гаранты
– Владельцы ботнетов
– Владельцы анонимных прокси
– И т.д.
46. Структура издержек
• Какие наиболее важные расходы предполагает бизнес-модель?
• Какие из ключевых ресурсов наиболее дороги?
• Какие ключевые виды деятельности требуют наибольших затрат?
48. Структура издержек спама
Показатель Значение Показатель Значение
Послано спама 40.000.000 Хостинг $230
Click-through ratio 0.12% 4 дня аренды $6800
Соотношение 1/200 ботнета
продаж Стоимость базы $4000
Всего продаж 240 e-mail
Объем продаж $37440 Затраты $11030
Комиссия 50%
спаммера
Доход $18720
Прибыль - $7690 в неделю
49. Криминальный арбитраж
• Задача гаранта — быть независимым и гарантировать получение
услуг/товаров покупателем и денег продавцом
Разработчик Кардеры
malware
Разработчик Вымогатели
ExploitKit Владелец
Гарант Гарант
ботнета
Упаковщик Конкуренты
malware
Спамеры
Abuse-хостер
50. Вывод денег
• Мулы (дропперы) – люди, найденные через Интернет,
используемые для снятия/обналичивания/перевода денег
– Рекрутинг на сайтах, в социальных сетях, через спам
• Мулы открывают банковские счета, а затем переводят
полученные через троянцев (например, Zeus) или вручную деньги
на указанные счеты
– Также возможно обналичивание средств, перевод средств на
мобильные телефоны, использование систем мгновенных
переводов, системы электронных платежей и т.д.
• Получают процент от перечисленных средств
– Открывают счета на свои или украденные ПДн
53. My Canadian Pharmacy ориентируется на потребности
• В США запрещена безрецептурная продажа многих лекарств
– Каждый поход к врачу за рецептом стоит денег
54.
55. Реальный адрес офиса My Canadian Pharmacy
1592 Wilson Avenue
Toronto, ON M3L 1A6
• Доход от продажи плацебо или фальсифицированных лекарств
составляет не менее $100M в год
56. Спам и фишинг для рекламы «Виагры»
• Ботнет Storm отправлял различные спамерские рассылки,
включая
– Фишинг банков
– Рекрутинг мулов (дропперов)
– Фрамацевтический спам, рекламирующий Canadian Pharmacy (до
80% всех рассылок Storm)
58. Самообслуживание на Spamit.com
• Сервис Spamit.com управляет спам-доменами
– Регистрация доментов для рассылки спама, создание записей
DNS, серверов NS, Web-сайтов
– Владельцы ботнетов, используют сервис Spamit для
мониторинга сайтов и доходов от рассылки спама
• Доход фармадилеров – 40% от успешной сделки
59. Российский GlavMed связан с Spamit.com
GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget
about miserable sums you're getting sending your visitors to PPC pharmacy.
You're loosing at least half of YOUR money converting traffic like this. GlavMed
offers you a possibility to eliminate any agents and sell most popular pharmacy
products directly. It means 30-40% revenue share.
61. Троян/ботнет Zeus
• Автор – предположительно Россия или страна бывшего СССР
• Известна с 2007-го года
– Первоначально продавался на «черном» рынке с адаптацией под
требования заказчика
• Высокий уровень модификации кода Zeus
– До несколько тысяч версий в месяц
– Доступен конструктор ботнета
– Модульная структура
• Троян работает с системами Интернет-банкинга и системами
электронных денег
– Кража ПДн, учетных записей, ключей ЭП, сертификатов,
передаваемой платежной информации
– Фишинг
• Средняя стоимость – €1.5-10K (зависит от модулей)
62. Zeus – одна из последних успешных бизнес-моделей
64. Первый случай функционирования Zeus
• Казначей из Кентукки получил Zeus на свой ПК
• Злоумышленник украл реквизиты доступа и получил доступ к
банковскому счету с компьютера казначея
– Мул (дроппер) был найден на Careerbuilder.com
– Мул «заведен» как фиктивный работник
– Мул получил $9700 и послал $8700 в Украину через Western
Union
• Более 25 снятий со счета сумм <$10,000
• Общая сумма потерь $415K
– Владелец данной копии Zeus заработал 90%
– Мул заработал 10%
65. Конфиг Zeus – пример настройки под нужды клиента
• По умолчанию Zeus крадет все поля в формах
• Каждый контролер ботнета может быть настроен на жертву
Красть отсюда
• А могут быть и исключения
Отсюда не красть
66. Демонстрация ценности: популярность ZeuS
• Несколько сотен центров управления зафиксировано на ZeuS
Tracker
• Примерно 1.6M ботов в ботнетах на базе ZeuS
• 960 банков в числе жертв
• Топ5 банков США – на каждый из них нацелено около ботнетов
500 ZeuS
– По данным Cisco
• 88% компаний Fortune 500 пострадали от ZeuS
– По данным RSA
• Небольшие компании больше подвержены действиям ZeuS ввиду
отсутствия адекватных средств защиты
• Российские компании пока не так активно попадают в прицел
ZeuS
– Патриотизм?
69. Киберпреступники постоянно меняют бизнес-модель
• MetaQuotes занимается
разработкой ПО для
финансовых рынков
• MetaQuotes готова
платить за участие
пользователей в
облачных вычислениях
• Троян Trojan-
Downloader.Win32.MQL5M
iner.a скачивает ПО
MetaQuotes на ПК жертвы
• Деньги за участие в
вычислениях идут автору
трояна
70. Старые методы уже не работают
Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
71. Индустрия киберпреступности похожа на ИТ
• Высокообразованные специалисты взаимодействуют между
собой для создания новых вредоносных программ
• Для управления большими проектами используются
специализированные средства разработки ПО, контроля версий и
взаимодействия разработчиков
• Разработчики вредоносных программ ничем не отличаются от
таких же в ИТ-индустрии
• Обмен информацией и талантами при совместной работе дает
гораздо больший эффект, чем работа в одиночку
• Большие заработки не оставляют надежды на самостоятельное
прекращение этого бизнеса
72. Что делать?
• Это уже не детские шалости и бороться в одиночку с этой
проблемой потребители не в состоянии
• Технические средства также не в состоянии решить эту проблему
– В цикле «проактивные действия – активная защита –
реагирование» технические решения направлены, как правило,
на вторую стадию
• Любой бизнес может быть прекращен или снижен его масштаб
устранив основные причины его возникновения и способы
получения прибылей
– Если удастся заблокировать перевод украденных денежных
средств, то у киберпреступников пропадут стимулы участвовать в
данной бизнес-модели
• Нужно сделать киберпреступление дорогим или опасным
– Это выбьет почву из под ног киберпреступников
73. Взаимодействие банков и провайдеров
• Необходимо активное взаимодействий операторов связи
(провайдеров Интернет-услуг) и банков, а также
специализированных компаний, занимающихся расследованием
преступлений и разработкой средств защиты
– Уязвимым местом в бизнес-модели является обработка
платежей за киберпреступления
• Если
– вооружить банки черными списками продавцов, использующих
спам
– убедить банки блокировать процессинг в пользу онлайн-
сервисов, запятнавших свою репутацию
• киберпреступники лишатся механизма получения доходов, а с
ними и те, кому они платят за разработку инструментания
• Но… нужна помощь государства
74. Необходимо участие государства и регуляторов
• Создать единую площадку для оперативного обмена
информацией о хищениях или покушении на хищения денежных
средств
• Разработать единый порядок взаимодействия операторов по
переводу денежных средств в таких инцидентах
• Разработать оперативный механизм блокирования
последующего вывода денежных средств на счета «мулов», а
также механизм возврата украденных средств
• Внести изменения в нормативно-правовые акты в части
квалификации компьютерных преступлений и определения
времени и места окончания преступления
– Необходим регламент проведения расследования таких
преступлений
• Провести обучение сотрудников правоохранительных и судебных
органов в области киберпреступлений
75. Дополнительная информация
• Cisco 2Q11 Global Threat Report
• Cisco 2010 Annual Threat Report
• Email Attacks: This Time It’s Personal
• Cisco Security Website
• Cisco Security Intelligence Operations
• Cisco Security Blog
• Cisco Security Facebook
• Cisco Security Twitter
В презентации использованы материалы Cisco,
Лаборатории Касперского, BlackHat, Arbor, NESTA,
SecureWorks, Trend Micro и других