Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]

Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.

  • Login to see the comments

Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]

  1. 1. Rooted CON 2017 TLOTA The Lord Of The ATMs 0
  2. 2. Contenidos 1 Objetivo de la revisión Estructura de un ATM Vectores de compromiso Metodología de las pruebas Alcance de las pruebas Próximos pasos y necesidades
  3. 3. WHOAMI 2  ¿Quiénes somos?  Rubén Garrote  Rubén Ródenas  ¿Qué hacemos?  Somos apasionados por la seguridad informática trabajamos en el Team de hacking de cybersoc Deloitte, debido a la problemática que se estaba percibiendo por los clientes de ataques a ATMs de diferentes marcas, nos pusimos manos a la obra a investigar y sacar conclusiones de cómo estaban efectuando los ataques. Ponente 1
  4. 4. WHOAMI 3  Resumen  Trabaja como Pentester & Researcher en el equipo de Hacking Ético de CyberSOC en Deloitte. Gran apasionado de la seguridad y mente inquieta en continuo aprendizaje sobre los dispositivos y tecnologias que le rodean. Miembro de la organización Navaja Negra y presidente de la misma en su última Edicion de 2016 hasta la actualidad.  Contacto  Bla, bla, bla Ponente 2
  5. 5. Motivación de la revisión de un ATM 4  Revisar el estado de seguridad lógica de los cajeros.  Revisión de los mecanismos de comunicación y gestión distribuida.  Revisión de la seguridad de recursos críticos, servicios y sistemas.  Revisión de la configuración de los desarrollos de terceros.  Elaborar un plan de acción que detalle las medidas correctivas a los riesgos identificados  Aportar un conjunto de recomendaciones que mitigue en el futuro posibles compromisos de seguridad  Bastionado de sistemas operativos y configuración de servicios.  Indicadores de compromiso.  Recomendaciones de seguridad a fabricantes y proveedores Objetivos de las pruebas y principales aportaciones
  6. 6. Fabricantes de ATM 5  NCR  Serie 50xx: Fabricados en 1983 - Low Cost • 5070 (lobby), 5084 (through the wall TTW) • 5085 (lobby), 5088 (through the wall TTW)  Introduce medidas de anti vandalismo Repaso de marcas existentes
  7. 7. Fabricantes de ATM 6  NCR  Series 56xx: Fabricados en 1991 • 5670, 5674, 5675, 5684  Introducen mejores de seguridad y usabilidad, como los Indicadores lumínicos para introducir la tarjeta. • Fue comprado por AT&T en 1994. • 5685, 5688 • Incluyen multifunción (dispense & deposit) tanto en lobby como en TTW. Repaso de marcas existentes
  8. 8. Fabricantes de ATM 7  NCR  La Serie 58xx son conocidos con el nombre de Persona y con frecuencia se abrevian con Pxx donde xx son los últimos 2 digitos del modelo 58xx.  Series M: Tal y como se denominan a los últimos modelos. Estas máquinas comparten la misma arquitectura básica y muchos de los modelos utilizan el mismo o similar software, además de compartir los mismos módulos. • 5886, 5887, 6674 y 6676.  SelfServ 20 & 30: Rediseñado completamente, y destinado al dispensado y reciclaje de dinero (cajeros en hiper/super-mercados). Repaso de marcas existentes
  9. 9. Fabricantes de ATM 8  Wincor Nixdorf  XE Generation • 2050, 2010, 20150  ProCash & CINEO Series • Cineo C20XX • Cineo C25XX • ProCash 28X Repaso de marcas existentes
  10. 10. Fabricantes de ATM 9  Diebold  Opteva Serie 5xx: Cash Dispenser • 500, 510, 520, 522, 560  Opteva Serie 7xx: Todas las funcionalidades • 720, 740, 750, 760 Repaso de marcas existentes
  11. 11. Fabricantes de ATM 10 Repaso de marcas existentes
  12. 12. Fabricantes de ATM 11  Diebold Nixford  CS 280, 562  CS 2XXX  CS 5XXX Repaso de marcas existentes
  13. 13. Fabricantes de ATM 12 Repaso de marcas existentes
  14. 14. Fabricantes de ATM 13  Diebold  Comunicación con el Hardware • Agilis • Protocolo 91x: 910, 911, 912  Middleware • Diebold Agilis EmPower Repaso de software
  15. 15. Fabricantes de ATM 14  NCR  Comunicación con el Hardware • Serie 50xx:NCR Direct Connect protocol: NDC RMX • Serie P & M: NCR Direct Connect protocol: NDC(+) • SelfServ: Advanced Aptra NCR Connect protocol (AANDC)  Middleware • NCR Aptra Edge Repaso de software
  16. 16. Fabricantes de ATM 15  Wincor Nixdorf  Comunicación con el Hardware • ProCash: NDC (NCR Direct Connection) • ProCash: DDC (Diebold Direct Connection)  Middleware • Wincor Nixdorf ProTopas Repaso de software
  17. 17. Fabricantes de ATM 16  Fujistsu  Comunicación con el Hardware • NCR: Advanced Aptra NCR Connect protocol NDC(+) • Wincor Nixdorf: ProCash • Diebold: Protocolo 91x: 910, 911, 912  Middleware (MUlTIVENDOR) • Fujitsu MDCS Repaso de software
  18. 18. Entorno de un ATM 17  TTW (Through The Wall)  Red interna de la oficina bancaria y conectado al backend por red interna  Dentro de la oficina bancaria pero conectado al backend por 3G  Lobby (Cajeros deslocalizados)  3G conectado al backend accesible desde internet  Wifi del sitio para acceder al backend accesible desde internet Externo: Localización y conectividad
  19. 19. Entorno de un ATM 18  Permisos de usuario  Bla bla bla  Software con el que convive  Antivirus  Software de gestión remota (DameWare, Teamviewer, …)  Conexión directa a internet (Navegadores, software de descarga, …)  Aplicación del banco (Java, IE, Vendor, …) Interno: Sistema operativo y software interno del cajero
  20. 20. Estructura de un ATM 19  Componentes de un cajero automático Descripción resumida de un cajero automático a nivel lógico y de sus componente
  21. 21. Estructura de un ATM 20  Estructura lógica del sistema operativo del cajero automático. Descripción resumida de un cajero automático a nivel lógico y de sus componente
  22. 22. Vectores de compromiso 21  Gestión distribuida del ATM  Ataques dirigidos a la organización en busca de sistemas ATM a través de red interna. Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
  23. 23. Vectores de compromiso 22  Gestión distribuida del ATM  Conexión directa a internet.  Conexión remota Ej: Soporte técnico. Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
  24. 24. Vectores de compromiso 23  Infección de malware  Octubre 2013 – Ploutus  Marzo 2014 – Ploutus.B  Octubre 2014 – PADPIN a.k.a Tyupkin  Agosto 2015 - SUCEFUL  Septiembre 2015 - GreenDispenser  Septiembre 2016 - RIPPER  Compromiso de los servicios de terceros  Clientes XFS SPI desarrollados específicamente (DispenseAll, JXFS, etc...)  Vulnerabilidades de fabricantes (NCR, Wincor Nixford, Fujistsu, IBM, … )  Ataques físicos  LockPicking – Acceso al cajero mediante la apertura de las cerraduras.  Black Box - Desconectando el Cash Dispenser y conectando hardware externo que tenga por objetivo la obtención de dinero. Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias Sofisticación
  25. 25. Vectores de compromiso 24 Principales aspectos a revisar de acuerdo a los vectores mas comunes y tendencias
  26. 26.  Métodos tradicionales de test de intrusión (ISSAF, OSSTMM, OWASP, etc.. ) (Conocimiento avanzado)  Evasión de medidas de seguridad del sistema  Cortafuegos, Anti Virus, HIDS, etc.  Escalado de privilegios  Explotación de equipos bastionados y con mecanismos de seguridad implementados  Ingeniería inversa y desarrollo y ejecución de programas a medida (Conocimiento experto)  Drivers de fabricantes.  Explotación de vulnerabilidades de software de fabricantes  Clientes XFS SPI  Ejemplo código DispenseAll Metodología y enfoque de los ataques Metodología de ataque a un ATM 25
  27. 27. Malware en detalles 26  Descripción  Malware visto por primera vez en Mexico en el 2013, establece comunicación con el Malware mediante SMS y Teclado, trabaja sobre mas de 40 modelos de ATMs y afecta a mas de 80 países. Existen 2 cepas mas utilizadas de este malware  Funcionamiento  Su funcionamiento es simple con combinación de teclas Fx establece comandos con el malware para sustraer dinero del cajetín del ATM  Utiliza técnicas básicas de persistencia  Se inicia el Malware cuando es llamado y se descifra para su funcionamiento  Mata los procesos  NHOSTSVC.exe  AgilisConfigurationUtility.exe  XFSConsole.exe  Borra los archivos  NetOp.LOG Plotus / Plotus -D
  28. 28. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 27 Malware en detalles RIPPER ATM  Descripción  Malware detectado 2016 no se conoce el lugar exacto, curiosamente apareció una muestra en Virustotal poco después de la denuncia de un banco en Tailandia de un robo en uno de sus ATMS, el nombre de este malwara proviene de la muestra obtenida de virus total   Funcionamiento  Destinado a una única marca de ATMS  La técnica utilizada para obtener dinero sigue la misma estándar realizado por Tyupkin  es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.  Utiliza técnicas de borrado anti-forense
  29. 29. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 28 Malware en detalles COBALT  Descripción  Malware detectado 2016, distribuido por toda Europa y parte de Asia, utiliza un propagación mediante campañas de phising
  30. 30. Threat Intelligence & Analytics. CyberSOC. Deloitte Advisory S.L. 29  Funcionamiento  Destinado a una única marca de ATMS (Wincor Nixdorf)  La técnica utilizada para obtener dinero preparaban ataques organizados con muleros encargados de la sustracción del dinero de los cajeros atacados  es capaz de controlar el dispositivo de lectura de tarjetas para leer o expulsar la tarjeta bajo demanda.  Utiliza técnicas de escalado mediante mimikazt  Intenta hacerse administrador de dominio  Utiliza técnicas de borrado anti-forense Malware en detalles COBALT
  31. 31. Malware en detalles 30  Descripción  Malware localizado en Europa y ASIA, visto por primera vez en 2014. Los atacantes infectaban los ATMs mediante un CD que introducían en los ATMs  Funcionamiento  Binario :  C:Windowssystem32ulssm.exe  El Malware es capaz de interactuar con el ATM gracias a la librería MSXFS.dll  El malware se ejecuta en un bucle infinito esperando la entrada del usuario, Con el fin de que sea más difícil de detectar solo acepta comandos el lunes y domingo por la noche. PADPIN a.k.a Tyupkin
  32. 32. TLOTA – The Lord Of The ATMs 31  Descripción  Es una Herramienta orientada a facilitar a los auditores la auditoria de ATMs  Alcance  Bla, bla, bla  Funcionamiento  Identificación y muestra de información respecto al ATM  Check sobre sistemas de protección del ATM  Habilitar/Deshabilitar servicios de interés del ATM  Habilitar/Deshabilitar drivers de dispositivos del ATM Introducción
  33. 33. TLOTA – The Lord Of The ATMs 32  DEMO  DEMO DEMO
  34. 34. Próximos trabajos y líneas de investigación 33 ERPOS Datafonos • Datafonos en TPV y datafonos aislados en dispensadores de café, alimentos, etc.. TPV • Cajeros de grandes superficies • Autopago Self Dispensers Gasolineras ??? • Dispensadores de gasolina
  35. 35. For more information, please, visit www.deloitte.es Deloitte Advusory refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Deloitte Advisory provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 140 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte Advisory's approximately 170,000 professionals are committed to becoming the standard of excellence. © 2016 Deloitte Advisory, S.L.

×