nuevas modalidades de fraude atm
TRANSCRIPT
Orange Earth
Fraudes Black Box & Cia. en ATMDavid F. Pereira
David F. Pereira Q.CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC, CCISO, CND.
19+ Aos de experiencia en Seguridad Informtica y DFIRHcker Etico / Pentester en diversas Entidades en el mundo, de mbitos como el Financiero, Energtico, Militar, Inteligencia, Diplomtico, Minero, entre otros. Experto Ciberdefensa AvanzadaInstructor / Consultor de Fuerzas de Ciberseguridad, Fuerzas Militares y Polica, en varios Paises.CEO de SecPro
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Jackpotting:Nombre dado en el Underground la tcnica o ataque que permite extraer dinero de un Cajero Automtico sin necesidad de utilizar una tarjeta Dbito/Crdito legtima de forma fraudulenta;Tal como sacarse el premio de una mquina tragamonedas.Conceptos
XFS:Estndar Cliente Servidor utilizado para aplicaciones financieras;Conceptos
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Recabar Datos e Inteligencia (OSINT) Identificar FabricantesIdentificar ConectividadConseguir Manuales y Especificaciones Tec.Estudio del Entorno (CCTV, Alarmas)Determinar VulnerabilidadesFsicasLgicasConseguir HerramientasHardwareSoftwareAtacar!!
Modus Operandi del Ciberdelincuente
Consecucin de Llaves de Seguridad:Cmplice Interno / ExternoMercadohttp://www.atm-machineparts.com/sale-6123626-banking-machine-atm-spare-parts-safety-box-keys-with-multi-brand-and-model.htmlModus Operandi del Ciberdelincuente
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Algunos Tipos de Ataque a ATM:
Black BoxCentro de Procesamiento Falso (Red)Malware Inyectado por USBAtaques Varios
Ataques Black Box:Utilizan una computador Black Box conectado al ATM para colocarlo en modo Supervisor.La Caja Negra se controla remotamente con un SmartPhone.La Black Box es simplemente un RaspBerry Pi de US$40 o similar;Ataques
Ataque Black Boxhttps://business.kaspersky.com/atm-attack-3/6201/
Falta de Autenticacin en el ATM para intercambio de datos entre el Hardware del ATM y sus Aplicaciones;
Solucin:Autenticacin de los Dispositivos XFS.Por Qu logran el Ataque Black Box
Ataques con Centro de Procesamiento Falso Utilizan una computador Black Box y conectan a l el cable de red del ATM.Falsifican por software el centro de procesamiento.Responden las peticiones realizadas por medio del trfico generado por el ATM.Ataques
Ataque con Centro de Procesamiento Falsohttps://business.kaspersky.com/atm-attack-3/6201/
Acceso fsico al cable de Red del ATM.Falta de Autenticacion entre las Aplicaciones del ATM y el Centro de Procesamiento.
Solucin:Proteccin Fsica del Cable de RedAutenticacin entre el ATM y el Centro de ProcesamientoEncripcin del trficoPor Qu logran el Ataque de Centro de Procesamiento Falso
Ataques con Malware por USB Conectan un dispositivo de almacenamiento USB para infectar el ATM
Una vez infectado, pueden controlar el Cajero por medio de la red o incluso desde el mismo teclado PinPad.Ataques
Ataque con Malwarehttps://business.kaspersky.com/atm-attack-3/6201/
Falta de AntiMalware AvanzadoFalta de HIDS / HIPS / NIDS / NIPSFalta de File Integrity ValidationFalta de Lista Blanca de Aplicaciones en el ATMFalta de Autenticacin en los datos intercambiados entre el Hardware y las Aplicaciones
Por Qu logran el Ataque con Malware
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Ploutushttps://www.youtube.com/watch?v=k-MqCFTD6kY&app=desktop
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Alice, marca una nueva tendencia: operar en mltiples plataformas; Se le llam Alice por el nombre inyectado que trae;
AliceViene con mecanismos de deteccin de Debugging;Dentro de la Evolucin del malware, los desarrolladores en su bsqueda de la evasin antimalware, implementan nuevas tcnicas;
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Busca las llaves de registro correspondientes a XFS:
HKLM\SOFTWARE\XFSHKLM\SOFTWARE\XFS\TRCERR
Si no las Encuentra, no se ejecuta;
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Si se ejecuta, crea 2 archivos:xfs_supp.sys trcerr.logAlice conecta al CurrencyDispenser1 (XFS)Luego recibe comendos por medio del PinPadPIN CodeDescription of Command1010100Decrypts and drops filesd.batin current directory. This batch file is used to cleanup/uninstall Alice.0Exits the program and runssd.bat. Also deletesxfs_supp.sys.specific4-digit PINbased on ATMs terminal IDOpens the operator panel.
Alicehttp://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/Si se digita el PIN correcto, Alice muestra el panel del Operador y muestras los Cassetes del Dispensador de Efectivo;
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Otras Amenazas
RipperMetel (RollBack de Transacciones)Carbanak 2.0GCMAN MultivendorRobo de datos Biometricos por medio de SkimmersY la lista sigue..
GCMAN
Agenda
ConceptosModus Operandi del CibercriminalAtaques VariosMalware "Ploutus"Malware "Alice"Otras AmenazasMecanismos de Defensa
Mecanismos de DefensaControlar el Boot de el ATM y Bloquear el Arranque desde dispositivos en los que no se confia; (CD/DVD/USB)
Encriptar el Disco duro del ATM
Sistema Operativo Actualuzado y Parchado
Bloqueo MD5 o SHA para ejecucion de Aplicaciones
Segmentacion de la red de los ATM (Red Segura)
Usar Protocolos que garanticen Integridad y Confidencialidad en las Comunicaciones.
David PereiraTwitter: [email protected]@secpro.orgCel.3002002972
Preguntas? Inquietudes?