Rooted CON 2017

TLOTA

The Lord Of The ATMs

0

Contenidos

1

Objetivo de la revisión

Estructura de un ATM

Vectores de compromiso

Metodología de las pruebas

Alcance de las pruebas

Próximos pasos y necesidades

WHOAMI

2

¿Quiénes somos?

Rubén Garrote

Rubén Ródenas

¿Qué hacemos?

Somos apasionados por la seguridad informática trabajamos en el Team de

hacking de cybersoc Deloitte, debido a la problemática que se estaba

percibiendo por los clientes de ataques a ATMs de diferentes marcas, nos

pusimos manos a la obra a investigar y sacar conclusiones de cómo estaban

efectuando los ataques.

Ponente 1

WHOAMI

3

Resumen

Trabaja como Pentester & Researcher en el equipo de Hacking Ético de CyberSOC en Deloitte. Gran

apasionado de la seguridad y mente inquieta en continuo aprendizaje sobre los dispositivos y

tecnologias que le rodean. Miembro de la organización Navaja Negra y presidente de la misma en su

última Edicion de 2016 hasta la actualidad.

Contacto

Bla, bla, bla

Ponente 2

Motivación de la revisión de un ATM

4

Revisar el estado de seguridad lógica de los cajeros.

Revisión de los mecanismos de comunicación y gestión distribuida.

Revisión de la seguridad de recursos críticos, servicios y sistemas.

Revisión de la configuración de los desarrollos de terceros.

Elaborar un plan de acción que detalle las medidas correctivas a los riesgos identificados

Aportar un conjunto de recomendaciones que mitigue en el futuro posibles compromisos de

seguridad

Bastionado de sistemas operativos y configuración de servicios.

Indicadores de compromiso.

Recomendaciones de seguridad a fabricantes y proveedores

Objetivos de las pruebas y principales aportaciones

Fabricantes de ATM

5

NCR

Serie 50xx: Fabricados en 1983 - Low Cost

• 5070 (lobby), 5084 (through the wall TTW)

• 5085 (lobby), 5088 (through the wall TTW)

Introduce medidas de anti vandalismo

Repaso de marcas existentes

Fabricantes de ATM

6

NCR

Series 56xx: Fabricados en 1991

• 5670, 5674, 5675, 5684

Introducen mejores de seguridad y usabilidad, como los

Indicadores lumínicos para introducir la tarjeta.

• Fue comprado por AT&T en 1994.

• 5685, 5688

• Incluyen multifunción (dispense & deposit) tanto en lobby como en TTW.

Repaso de marcas existentes

Fabricantes de ATM

7

NCR

La Serie 58xx son conocidos con el nombre de Persona

y con frecuencia se abrevian con Pxx donde xx son los últimos 2 digitos

del modelo 58xx.

Series M: Tal y como se denominan a los últimos modelos.

Estas máquinas comparten la misma arquitectura básica y muchos de los

modelos utilizan el mismo o similar software, además de compartir los

mismos módulos.

• 5886, 5887, 6674 y 6676.

SelfServ 20 & 30: Rediseñado completamente, y destinado al dispensado

y reciclaje de dinero (cajeros en hiper/super-mercados).

Repaso de marcas existentes

Fabricantes de ATM

8

Wincor Nixdorf

XE Generation

• 2050, 2010, 20150

ProCash & CINEO Series

• Cineo C20XX

• Cineo C25XX

• ProCash 28X

Repaso de marcas existentes

Fabricantes de ATM

9

Diebold

Opteva Serie 5xx: Cash Dispenser

• 500, 510, 520, 522, 560

Opteva Serie 7xx: Todas las funcionalidades

• 720, 740, 750, 760

Repaso de marcas existentes

Fabricantes de ATM

10

Repaso de marcas existentes

Fabricantes de ATM

11

Diebold Nixford

CS 280, 562

CS 2XXX

CS 5XXX

Repaso de marcas existentes

Fabricantes de ATM

12

Repaso de marcas existentes

Fabricantes de ATM

13

Diebold

Comunicación con el Hardware

• Agilis

• Protocolo 91x: 910, 911, 912

Middleware

• Diebold Agilis EmPower

Repaso de software

Fabricantes de ATM

14

NCR

Comunicación con el Hardware

• Serie 50xx:NCR Direct Connect protocol: NDC RMX

• Serie P & M: NCR Direct Connect protocol: NDC(+)

• SelfServ: Advanced Aptra NCR Connect protocol (AANDC)

Middleware

• NCR Aptra Edge

Repaso de software

Fabricantes de ATM

15

Wincor Nixdorf

Comunicación con el Hardware

• ProCash: NDC (NCR Direct Connection)

• ProCash: DDC (Diebold Direct Connection)

Middleware

• Wincor Nixdorf ProTopas

Repaso de software

Fabricantes de ATM

16

Fujistsu

Comunicación con el Hardware

• NCR: Advanced Aptra NCR Connect protocol NDC(+)

• Wincor Nixdorf: ProCash

• Diebold: Protocolo 91x: 910, 911, 912

Middleware (MUlTIVENDOR)

• Fujitsu MDCS

Repaso de software

Entorno de un ATM

17

TTW (Through The Wall)

Red interna de la oficina bancaria y conectado al backend por red interna

Dentro de la oficina bancaria pero conectado al backend por 3G

Lobby (Cajeros deslocalizados)

3G conectado al backend accesible desde internet

Wifi del sitio para acceder al backend accesible desde internet

Externo: Localización y conectividad

Entorno de un ATM

18

Permisos de usuario

Bla bla bla

Software con el que convive

Antivirus

Software de gestión remota (DameWare, Teamviewer, …)

Conexión directa a internet (Navegadores, software de descarga, …)

Aplicación del banco (Java, IE, Vendor, …)

Interno: Sistema operativo y software interno del cajero

Estructura de un ATM

19

Componentes de

un cajero automático

Descripción resumida de un cajero automático a nivel lógico y de sus componente

Estructura de un ATM

20

Estructura lógica del

sistema operativo

del cajero automático.

Descripción resumida de un cajero automático a nivel lógico y de sus componente

Vectores de compromiso

21

Gestión distribuida del ATM

Ataques dirigidos a la organización en busca de sistemas ATM a través de red interna.

Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias

Vectores de compromiso

22

Gestión distribuida del ATM

Conexión directa a internet.

Conexión remota

Ej: Soporte técnico.

Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias

Vectores de compromiso

23

Infección de malware

Octubre 2013 – Ploutus

Marzo 2014 – Ploutus.B

Octubre 2014 – PADPIN a.k.a Tyupkin

Agosto 2015 - SUCEFUL

Septiembre 2015 - GreenDispenser

Septiembre 2016 - RIPPER

Compromiso de los servicios de terceros

Clientes XFS SPI desarrollados específicamente (DispenseAll, JXFS, etc...)

Vulnerabilidades de fabricantes (NCR, Wincor Nixford, Fujistsu, IBM, … )

Ataques físicos

LockPicking – Acceso al cajero mediante la apertura de las cerraduras.

Black Box - Desconectando el Cash Dispenser y conectando hardware externo que tenga por objetivo

la obtención de dinero.

Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias

Sofisticación

Vectores de compromiso

24

Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias

Métodos tradicionales de test de intrusión (ISSAF, OSSTMM, OWASP, etc.. )

(Conocimiento avanzado)

Evasión de medidas de seguridad del sistema

Cortafuegos, Anti Virus, HIDS, etc.

Escalado de privilegios

Explotación de equipos bastionados y con mecanismos de seguridad implementados

Ingeniería inversa y desarrollo y ejecución de programas a medida

(Conocimiento experto)

Drivers de fabricantes.

Explotación de vulnerabilidades de software de fabricantes

Clientes XFS SPI

Ejemplo código DispenseAll

Metodología y enfoque de los ataques

Metodología de ataque a un ATM

25

Malware en detalles

26

Descripción

Malware visto por primera vez en Mexico en el 2013, establece comunicación con el Malware

mediante SMS y Teclado, trabaja sobre mas de 40 modelos de ATMs y afecta a mas de 80 países.

Existen 2 cepas mas utilizadas de este malware

Funcionamiento

Su funcionamiento es simple con combinación de teclas Fx establece comandos con el malware para

sustraer dinero del cajetín del ATM

Utiliza técnicas básicas de persistencia

Se inicia el Malware cuando es llamado y se descifra para su funcionamiento

Mata los procesos

NHOSTSVC.exe

AgilisConfigurationUtility.exe

XFSConsole.exe

Borra los archivos

NetOp.LOG

Plotus / Plotus -D

Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 27

Malware en detalles

RIPPER ATM

Descripción

Malware detectado 2016 no se conoce el lugar exacto, curiosamente apareció una muestra en

Virustotal poco después de la denuncia de un banco en Tailandia de un robo en uno de sus ATMS, el

nombre de este malwara proviene de la muestra obtenida de virus total

Funcionamiento

Destinado a una única marca de ATMS

La técnica utilizada para obtener dinero sigue la misma estándar realizado por Tyupkin

es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.

Utiliza técnicas de borrado anti-forense

Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 28

Malware en detalles

COBALT

Descripción

Malware detectado 2016, distribuido por toda Europa y parte de Asia, utiliza un propagación mediante

campañas de phising

Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 29

Funcionamiento

Destinado a una única marca de ATMS (Wincor Nixdorf)

La técnica utilizada para obtener dinero preparaban ataques organizados con muleros encargados de la

sustracción del dinero de los cajeros atacados

es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.

Utiliza técnicas de escalado mediante mimikazt

Intenta hacerse administrador de dominio

Utiliza técnicas de borrado anti-forense

Malware en detalles

COBALT

Malware en detalles

30

Descripción

Malware localizado en Europa y ASIA, visto por primera vez en 2014. Los atacantes infectaban los

ATMs mediante un CD que introducían en los ATMs

Funcionamiento

Binario :

C:\Windows\system32\ulssm.exe

El Malware es capaz de interactuar con el ATM gracias a la librería MSXFS.dll

El malware se ejecuta en un bucle infinito esperando la entrada del usuario, Con el fin de que sea más

difícil de detectar solo acepta comandos el lunes y domingo por la noche.

PADPIN a.k.a Tyupkin

TLOTA – The Lord Of The ATMs

31

Descripción

Es una Herramienta orientada a facilitar a los auditores la auditoria de ATMs

Alcance

Bla, bla, bla

Funcionamiento

Identificación y muestra de información respecto al ATM

Check sobre sistemas de protección del ATM

Habilitar/Deshabilitar servicios de interés del ATM

Habilitar/Deshabilitar drivers de dispositivos del ATM

Introducción

TLOTA – The Lord Of The ATMs

32

DEMO

DEMO

DEMO

Próximos trabajos y líneas de investigación

33

ERPOSDatafonos

• Datafonos en TPV y datafonos aislados en dispensadores de café, alimentos, etc..

TPV

• Cajeros de grandes superficies• Autopago

Self DispensersGasolineras ???

• Dispensadores de gasolina

For more information, please, visit www.deloitte.es

Deloitte Advusory refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and

independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.

Deloitte Advisory provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 140

countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte Advisory's approximately 170,000 professionals are committed to becoming

the standard of excellence.

© 2016 Deloitte Advisory, S.L.