Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.
2. Contenidos
1
Objetivo de la revisión
Estructura de un ATM
Vectores de compromiso
Metodología de las pruebas
Alcance de las pruebas
Próximos pasos y necesidades
3. WHOAMI
2
¿Quiénes somos?
Rubén Garrote
Rubén Ródenas
¿Qué hacemos?
Somos apasionados por la seguridad informática trabajamos en el Team de
hacking de cybersoc Deloitte, debido a la problemática que se estaba
percibiendo por los clientes de ataques a ATMs de diferentes marcas, nos
pusimos manos a la obra a investigar y sacar conclusiones de cómo estaban
efectuando los ataques.
Ponente 1
4. WHOAMI
3
Resumen
Trabaja como Pentester & Researcher en el equipo de Hacking Ético de CyberSOC en Deloitte. Gran
apasionado de la seguridad y mente inquieta en continuo aprendizaje sobre los dispositivos y
tecnologias que le rodean. Miembro de la organización Navaja Negra y presidente de la misma en su
última Edicion de 2016 hasta la actualidad.
Contacto
Bla, bla, bla
Ponente 2
5. Motivación de la revisión de un ATM
4
Revisar el estado de seguridad lógica de los cajeros.
Revisión de los mecanismos de comunicación y gestión distribuida.
Revisión de la seguridad de recursos críticos, servicios y sistemas.
Revisión de la configuración de los desarrollos de terceros.
Elaborar un plan de acción que detalle las medidas correctivas a los riesgos identificados
Aportar un conjunto de recomendaciones que mitigue en el futuro posibles compromisos de
seguridad
Bastionado de sistemas operativos y configuración de servicios.
Indicadores de compromiso.
Recomendaciones de seguridad a fabricantes y proveedores
Objetivos de las pruebas y principales aportaciones
6. Fabricantes de ATM
5
NCR
Serie 50xx: Fabricados en 1983 - Low Cost
• 5070 (lobby), 5084 (through the wall TTW)
• 5085 (lobby), 5088 (through the wall TTW)
Introduce medidas de anti vandalismo
Repaso de marcas existentes
7. Fabricantes de ATM
6
NCR
Series 56xx: Fabricados en 1991
• 5670, 5674, 5675, 5684
Introducen mejores de seguridad y usabilidad, como los
Indicadores lumínicos para introducir la tarjeta.
• Fue comprado por AT&T en 1994.
• 5685, 5688
• Incluyen multifunción (dispense & deposit) tanto en lobby como en TTW.
Repaso de marcas existentes
8. Fabricantes de ATM
7
NCR
La Serie 58xx son conocidos con el nombre de Persona
y con frecuencia se abrevian con Pxx donde xx son los últimos 2 digitos
del modelo 58xx.
Series M: Tal y como se denominan a los últimos modelos.
Estas máquinas comparten la misma arquitectura básica y muchos de los
modelos utilizan el mismo o similar software, además de compartir los
mismos módulos.
• 5886, 5887, 6674 y 6676.
SelfServ 20 & 30: Rediseñado completamente, y destinado al dispensado
y reciclaje de dinero (cajeros en hiper/super-mercados).
Repaso de marcas existentes
14. Fabricantes de ATM
13
Diebold
Comunicación con el Hardware
• Agilis
• Protocolo 91x: 910, 911, 912
Middleware
• Diebold Agilis EmPower
Repaso de software
15. Fabricantes de ATM
14
NCR
Comunicación con el Hardware
• Serie 50xx:NCR Direct Connect protocol: NDC RMX
• Serie P & M: NCR Direct Connect protocol: NDC(+)
• SelfServ: Advanced Aptra NCR Connect protocol (AANDC)
Middleware
• NCR Aptra Edge
Repaso de software
16. Fabricantes de ATM
15
Wincor Nixdorf
Comunicación con el Hardware
• ProCash: NDC (NCR Direct Connection)
• ProCash: DDC (Diebold Direct Connection)
Middleware
• Wincor Nixdorf ProTopas
Repaso de software
17. Fabricantes de ATM
16
Fujistsu
Comunicación con el Hardware
• NCR: Advanced Aptra NCR Connect protocol NDC(+)
• Wincor Nixdorf: ProCash
• Diebold: Protocolo 91x: 910, 911, 912
Middleware (MUlTIVENDOR)
• Fujitsu MDCS
Repaso de software
18. Entorno de un ATM
17
TTW (Through The Wall)
Red interna de la oficina bancaria y conectado al backend por red interna
Dentro de la oficina bancaria pero conectado al backend por 3G
Lobby (Cajeros deslocalizados)
3G conectado al backend accesible desde internet
Wifi del sitio para acceder al backend accesible desde internet
Externo: Localización y conectividad
19. Entorno de un ATM
18
Permisos de usuario
Bla bla bla
Software con el que convive
Antivirus
Software de gestión remota (DameWare, Teamviewer, …)
Conexión directa a internet (Navegadores, software de descarga, …)
Aplicación del banco (Java, IE, Vendor, …)
Interno: Sistema operativo y software interno del cajero
20. Estructura de un ATM
19
Componentes de
un cajero automático
Descripción resumida de un cajero automático a nivel lógico y de sus componente
21. Estructura de un ATM
20
Estructura lógica del
sistema operativo
del cajero automático.
Descripción resumida de un cajero automático a nivel lógico y de sus componente
22. Vectores de compromiso
21
Gestión distribuida del ATM
Ataques dirigidos a la organización en busca de sistemas ATM a través de red interna.
Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
23. Vectores de compromiso
22
Gestión distribuida del ATM
Conexión directa a internet.
Conexión remota
Ej: Soporte técnico.
Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
24. Vectores de compromiso
23
Infección de malware
Octubre 2013 – Ploutus
Marzo 2014 – Ploutus.B
Octubre 2014 – PADPIN a.k.a Tyupkin
Agosto 2015 - SUCEFUL
Septiembre 2015 - GreenDispenser
Septiembre 2016 - RIPPER
Compromiso de los servicios de terceros
Clientes XFS SPI desarrollados específicamente (DispenseAll, JXFS, etc...)
Vulnerabilidades de fabricantes (NCR, Wincor Nixford, Fujistsu, IBM, … )
Ataques físicos
LockPicking – Acceso al cajero mediante la apertura de las cerraduras.
Black Box - Desconectando el Cash Dispenser y conectando hardware externo que tenga por objetivo
la obtención de dinero.
Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
Sofisticación
26. Métodos tradicionales de test de intrusión (ISSAF, OSSTMM, OWASP, etc.. )
(Conocimiento avanzado)
Evasión de medidas de seguridad del sistema
Cortafuegos, Anti Virus, HIDS, etc.
Escalado de privilegios
Explotación de equipos bastionados y con mecanismos de seguridad implementados
Ingeniería inversa y desarrollo y ejecución de programas a medida
(Conocimiento experto)
Drivers de fabricantes.
Explotación de vulnerabilidades de software de fabricantes
Clientes XFS SPI
Ejemplo código DispenseAll
Metodología y enfoque de los ataques
Metodología de ataque a un ATM
25
27. Malware en detalles
26
Descripción
Malware visto por primera vez en Mexico en el 2013, establece comunicación con el Malware
mediante SMS y Teclado, trabaja sobre mas de 40 modelos de ATMs y afecta a mas de 80 países.
Existen 2 cepas mas utilizadas de este malware
Funcionamiento
Su funcionamiento es simple con combinación de teclas Fx establece comandos con el malware para
sustraer dinero del cajetín del ATM
Utiliza técnicas básicas de persistencia
Se inicia el Malware cuando es llamado y se descifra para su funcionamiento
Mata los procesos
NHOSTSVC.exe
AgilisConfigurationUtility.exe
XFSConsole.exe
Borra los archivos
NetOp.LOG
Plotus / Plotus -D
28. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 27
Malware en detalles
RIPPER ATM
Descripción
Malware detectado 2016 no se conoce el lugar exacto, curiosamente apareció una muestra en
Virustotal poco después de la denuncia de un banco en Tailandia de un robo en uno de sus ATMS, el
nombre de este malwara proviene de la muestra obtenida de virus total
Funcionamiento
Destinado a una única marca de ATMS
La técnica utilizada para obtener dinero sigue la misma estándar realizado por Tyupkin
es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.
Utiliza técnicas de borrado anti-forense
29. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 28
Malware en detalles
COBALT
Descripción
Malware detectado 2016, distribuido por toda Europa y parte de Asia, utiliza un propagación mediante
campañas de phising
30. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 29
Funcionamiento
Destinado a una única marca de ATMS (Wincor Nixdorf)
La técnica utilizada para obtener dinero preparaban ataques organizados con muleros encargados de la
sustracción del dinero de los cajeros atacados
es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.
Utiliza técnicas de escalado mediante mimikazt
Intenta hacerse administrador de dominio
Utiliza técnicas de borrado anti-forense
Malware en detalles
COBALT
31. Malware en detalles
30
Descripción
Malware localizado en Europa y ASIA, visto por primera vez en 2014. Los atacantes infectaban los
ATMs mediante un CD que introducían en los ATMs
Funcionamiento
Binario :
C:Windowssystem32ulssm.exe
El Malware es capaz de interactuar con el ATM gracias a la librería MSXFS.dll
El malware se ejecuta en un bucle infinito esperando la entrada del usuario, Con el fin de que sea más
difícil de detectar solo acepta comandos el lunes y domingo por la noche.
PADPIN a.k.a Tyupkin
32. TLOTA – The Lord Of The ATMs
31
Descripción
Es una Herramienta orientada a facilitar a los auditores la auditoria de ATMs
Alcance
Bla, bla, bla
Funcionamiento
Identificación y muestra de información respecto al ATM
Check sobre sistemas de protección del ATM
Habilitar/Deshabilitar servicios de interés del ATM
Habilitar/Deshabilitar drivers de dispositivos del ATM
Introducción
33. TLOTA – The Lord Of The ATMs
32
DEMO
DEMO
DEMO
34. Próximos trabajos y líneas de investigación
33
ERPOS
Datafonos
• Datafonos en TPV y datafonos aislados en dispensadores de café, alimentos, etc..
TPV
• Cajeros de grandes superficies
• Autopago
Self Dispensers
Gasolineras ???
• Dispensadores de gasolina