Orange Earth
Fraudes Black Box & Cia. en ATMDavid F. Pereira
David F. Pereira Q.CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC, CCISO, CND.
19+ Aos de experiencia en Seguridad Informtica y DFIRHcker Etico
/ Pentester en diversas Entidades en el mundo, de mbitos como el
Financiero, Energtico, Militar, Inteligencia, Diplomtico, Minero,
entre otros. Experto Ciberdefensa AvanzadaInstructor / Consultor de
Fuerzas de Ciberseguridad, Fuerzas Militares y Polica, en varios
Paises.CEO de SecPro
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Jackpotting:Nombre dado en el Underground la tcnica o ataque que
permite extraer dinero de un Cajero Automtico sin necesidad de
utilizar una tarjeta Dbito/Crdito legtima de forma fraudulenta;Tal
como sacarse el premio de una mquina tragamonedas.Conceptos
XFS:Estndar Cliente Servidor utilizado para aplicaciones
financieras;Conceptos
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Recabar Datos e Inteligencia (OSINT) Identificar
FabricantesIdentificar ConectividadConseguir Manuales y
Especificaciones Tec.Estudio del Entorno (CCTV, Alarmas)Determinar
VulnerabilidadesFsicasLgicasConseguir
HerramientasHardwareSoftwareAtacar!!
Modus Operandi del Ciberdelincuente
Consecucin de Llaves de Seguridad:Cmplice Interno /
ExternoMercadohttp://www.atm-machineparts.com/sale-6123626-banking-machine-atm-spare-parts-safety-box-keys-with-multi-brand-and-model.htmlModus
Operandi del Ciberdelincuente
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Algunos Tipos de Ataque a ATM:
Black BoxCentro de Procesamiento Falso (Red)Malware Inyectado
por USBAtaques Varios
Ataques Black Box:Utilizan una computador Black Box conectado al
ATM para colocarlo en modo Supervisor.La Caja Negra se controla
remotamente con un SmartPhone.La Black Box es simplemente un
RaspBerry Pi de US$40 o similar;Ataques
Ataque Black
Boxhttps://business.kaspersky.com/atm-attack-3/6201/
Falta de Autenticacin en el ATM para intercambio de datos entre
el Hardware del ATM y sus Aplicaciones;
Solucin:Autenticacin de los Dispositivos XFS.Por Qu logran el
Ataque Black Box
Ataques con Centro de Procesamiento Falso Utilizan una
computador Black Box y conectan a l el cable de red del
ATM.Falsifican por software el centro de procesamiento.Responden
las peticiones realizadas por medio del trfico generado por el
ATM.Ataques
Ataque con Centro de Procesamiento
Falsohttps://business.kaspersky.com/atm-attack-3/6201/
Acceso fsico al cable de Red del ATM.Falta de Autenticacion
entre las Aplicaciones del ATM y el Centro de Procesamiento.
Solucin:Proteccin Fsica del Cable de RedAutenticacin entre el
ATM y el Centro de ProcesamientoEncripcin del trficoPor Qu logran
el Ataque de Centro de Procesamiento Falso
Ataques con Malware por USB Conectan un dispositivo de
almacenamiento USB para infectar el ATM
Una vez infectado, pueden controlar el Cajero por medio de la
red o incluso desde el mismo teclado PinPad.Ataques
Ataque con
Malwarehttps://business.kaspersky.com/atm-attack-3/6201/
Falta de AntiMalware AvanzadoFalta de HIDS / HIPS / NIDS /
NIPSFalta de File Integrity ValidationFalta de Lista Blanca de
Aplicaciones en el ATMFalta de Autenticacin en los datos
intercambiados entre el Hardware y las Aplicaciones
Por Qu logran el Ataque con Malware
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Ploutushttps://www.youtube.com/watch?v=k-MqCFTD6kY&app=desktop
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Alice,
marca una nueva tendencia: operar en mltiples plataformas; Se le
llam Alice por el nombre inyectado que trae;
AliceViene con mecanismos de deteccin de Debugging;Dentro de la
Evolucin del malware, los desarrolladores en su bsqueda de la
evasin antimalware, implementan nuevas tcnicas;
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Busca
las llaves de registro correspondientes a XFS:
HKLM\SOFTWARE\XFSHKLM\SOFTWARE\XFS\TRCERR
Si no las Encuentra, no se ejecuta;
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Si
se ejecuta, crea 2 archivos:xfs_supp.sys trcerr.logAlice conecta al
CurrencyDispenser1 (XFS)Luego recibe comendos por medio del
PinPadPIN CodeDescription of Command1010100Decrypts and drops
filesd.batin current directory. This batch file is used to
cleanup/uninstall Alice.0Exits the program and runssd.bat. Also
deletesxfs_supp.sys.specific4-digit PINbased on ATMs terminal
IDOpens the operator panel.
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Si
se digita el PIN correcto, Alice muestra el panel del Operador y
muestras los Cassetes del Dispensador de Efectivo;
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Otras Amenazas
RipperMetel (RollBack de Transacciones)Carbanak 2.0GCMAN
MultivendorRobo de datos Biometricos por medio de SkimmersY la
lista sigue..
GCMAN
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware
"Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Mecanismos de DefensaControlar el Boot de el ATM y Bloquear el
Arranque desde dispositivos en los que no se confia;
(CD/DVD/USB)
Encriptar el Disco duro del ATM
Sistema Operativo Actualuzado y Parchado
Bloqueo MD5 o SHA para ejecucion de Aplicaciones
Segmentacion de la red de los ATM (Red Segura)
Usar Protocolos que garanticen Integridad y Confidencialidad en
las Comunicaciones.
David PereiraTwitter:
[email protected]@secpro.orgCel.3002002972
Preguntas? Inquietudes?
