Virus.IC.Tanga.a.
Эта малварь увидела свет в 2005 году. Распространяется в системе “1С:Предприятие 7.7» посредством заражения пользовательских файлов, которые отвечают за внешние отчеты и имеют расширение .ert. Малварь встраивается в один из таких файлов отчетов под видом макромодуля и активизируется при открытии документа. Для самораспространения Tanga использует язык модулей 1C, который позволяет этой малвари обращаться к системным файлам. В своей базовой конфигурации Tanga не имеет полезной нагрузки, а только демонстрирует механизм самораспространения.
1C.Drop.1.
Этот троян увидел свет в 2016 году. Ориентируется на российские компании, ищет на зараженных компьютерах бухгалтерский софт 1C и, если таковой найден, запускает на компьютере криптовымогателя. 1C.Drop.1 распространяется посредством электронной почты, среди зарегистрированных в базе 1C контрагентов с применением продвинутых техник социальной инженерии.
Малварь от RTM.
Преступная группировка RTM, специализирующаяся на краже средств у среднего и малого бизнеса, распространяет с 2015 года малварь, нацеленную на бухгалтерский софт «1С:Предприятие 8.x». Их малварь (написанная на языке Delphi) ищет файл 1c_to_kl.txt, содержащий платежные реквизиты, которые используются в ходе выполнения платежных поручений для систем ДБО. Малварь редактирует этот файл и подменяет платежные реквизиты контрагентов на свои [1]. По данным «Лаборатории Касперского», потери от работы трояна вылились примерно в 200 млн рублей, украденных у нескольких десятков российских компаний. Примерно 90% кибератак пришлось на средний и малый бизнес, остальные на госпредприятия и образовательные учреждения. Около четверти пострадавших компаний находятся в Москве.
Защита от RTM. По словам маркетологов 1C, защититься от подобных атак позволяет сервис «1С:ДиректБанк». Этот сервис взаимодействует с банковскими серверами напрямую и не требует создания промежуточных файлов, которые могут быть отредактированы злоумышленниками. При его использовании все платежные документы формируются и подписываются электронной подписью прямо в учетной программе и из нее отправляются напрямую на сервер банка. Однако для технически компетентного злоумышленника такая защита не является серьезным препятствием. Он для ее обхода, к примеру, может провести кэшатаку по сторонним каналам или воспользоваться какойнибудь из многочисленных уязвимостей SSLпротокола.
Зачем писать малварь на 1C?
На традиционных языках малварь писать удобнее, чем на встроенном языке 1C. Однако у 1C есть серьезное преимущество: 1C в отличие от остального софта всегда работает в привилегированном режиме и таким образом позволяет разработчику малвари полностью контролировать систему. В языке 1C присутствует богатая коллекция готовых к работе объектов, в том числе компоненты для работы с такими вещами, как FTP, HTTP, XML, SMTP, POP3 и т.д
Удар со стороны Microsoft Office.
Программы на Delphi, которая подключается к 1C через механизм OLE/ActiveX и затем передает в 1C команды, полученные от удаленного злоумышленника. Полученные команды выполняются в 1C от имени текущего пользователя. Есть шесть способов несанкционированного получения данных из 1C, в том числе через макросы, размещенные в документах Microsoft Office. Самое интересное, что при обращении к 1C из документов Microsoft Office, авторизация пользователя в системе 1C не требуется. Однако, даже если бы авторизация в 1C требовалась, она все равно не остановила бы мотивированного злоумышленника.
Захват 1C через удаленный доступ
1C в облаке. Бухгалтерский софт «1С:Предприятие 8.x» построен в соответствии с принципами клиентсерверной архитектуры: основная часть программного кода выполняется на удаленном сервере, в облаке, а пользователь взаимодействует с 1C через вебклиент. При этом, даже если 1C полностью развернута на локальной машине, она все равно эмулирует тот же самый клиентсерверный механизм.
Ради того, чтобы «все заработало», нерадивые системные администраторы склонны присваивать 1С софту максимальные привилегии. Поэтому пользователи 1C работают с полным доступом ко всей функциональности и 1Ссофта и операционной системы, на которой этот софт развернут. Таким образом, любой пользователь 1C может перепрограммировать систему на свое усмотрение. Например, отправлять на счета подставных контрагентов погрешности округления финансовых операций и разности в курсах валют. Подобные манипуляции может совершать либо обиженный инсайдер, либо удаленный злоумышленник.
Упомянутая вседозволенность в особенности актуальна для тех модификаций 1Ссофта, которые используют базы данных в файловом формате. Для работы с такими базами у всех пользователей операционной системы, на которой развернута 1C, должен быть полный доступ ко всем файлам конфигурации и ко всем файлам базы данных. В целях защиты от драматичных последствий подобной вседозволенности, в некоторых модификациях 1C используются базы данных в СУБД формате (PostgreSQL, MS SQL). Однако изза непрекращающегося процесса доработки 1C под свои нужды, проектной суеты и постоянных испытаний нового доработанного функционала ответственные специалисты зачастую пренебрегают правилами сетевой безопасности, и поэтому их система попрежнему остается лег кой для злоумышленника мишенью.
Зачем 1C выходит в интернет?
Выгрузки/загрузки клиентбанков, обмен информацией с филиалами, регулярная синхронизация с корпоративными сайтами, порталами, другими программами сдачи отчетности, управление клиентами и продажами это лишь некоторые из тех причин, по которым 1C не может обойтись без интернета. При этом взаимодействие с интернетом происходит в условиях практически полного игнорирования промышленных стандартов кибербезопасности. Данное обстоятельство усугубляется тем фактом, что постоянно возникают потребности в нестандартных доработках базовой конфигурации 1C. Благодаря этому в учетной системе стремительно растет количество уязвимостей, дыр, небезопасных соединений, открытых портов, легкодоступных файлов обмена и т.п. В результате все кому не лень могут делать с 1C все что угодно: начиная от элементарного вывода из строя базы данных и заканчивая подделкой платежного поручения на несколько миллионов рублей