HHIDE_DUMP
Гость
H
HHIDE_DUMP
Гость
Посмотреть вложение 8370
Перевод статьи от
Перевод статьи от
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. В январе 2018 года секретная служба США, а также крупные поставщики банкоматов Diebold Nixdorf и NCR выпустили срочные предупреждения об угрозе нападений на банкоматы. Эти предупреждения были заметны из-за характера угрозы: преступники, как говорили, планировали устанавливать вредоносное ПО в банкоматах или подключать специальные устройства для контроля выдачи наличных.
Несколько месяцев назад, в октябре 2017 года, в Мексике произошла серия таких атак. Нападавшие специально подготовили заранее загруженный вредоносный диск и переключили его с оригинального жесткого диска ATM. Чтобы восстановить соединение с банкоматом в банкомате, злоумышленники эмулировали физическую аутентификацию, которая необходима для подтверждения того, что авторизованный доступ к внутреннему безопасному банкомату был получен. С помощью медицинского эндоскопа нападавшим удалось манипулировать диспенсерными датчиками. Согласно отчетам NCR, в тот же период были также зарегистрированы атаки Black Box. Вместо того, чтобы отключать жесткий диск ATM, злоумышленники подключили специальное устройство («Черный ящик») для отправки команд в банкомат, из которого затем были собраны деньги злоумышленниками. В январе 2018 года эти нападения распространились на Соединенные Штаты.
Что общего у этих инцидентов было то, что вместо того, чтобы пытаться физически вытащить деньги из банкоматов, злоумышленники опустошали свои цели с помощью вредоносных программ или специальных хакерских устройств. Такие логические атаки требуют большего технического мастерства и подготовки, но вознаграждают преступников тихим методом кражи, который снижает риск быть пойманным.
Хотя логические атаки являются новинкой в Соединенных Штатах, они долгое время используются в остальном мире. Первые сообщения о вредоносном ПО для вредоносных программ появились в 2009 году, с обнаружением скиммера-трояна, способного украсть средства и данные банковских карт. С тех пор логические атаки становятся все более популярными среди киберпреступников. Эта тенденция подчеркивается в отчете Европейской ассоциации безопасных транзакций (ВОСТОК) об атаках АТМ в 2017 году. По сравнению с 2016 годом число логических атак в Европе утроилось в 2017 году, общий ущерб составил 1,52 миллиона евро.
Скиммер, используемый в самых первых атаках, все еще находится в активном развитии. Появились и другие семейства вредоносных программ, включая GreenDispenser, Alice, Ripper, Radpin и Ploutus. Все это доступно на форумах darkweb. При цене от 1500 долларов такие вредоносные программы относительно дороги. Но потенциальная прибыль огромна. Атакующие могут окупить свои первоначальные издержки с помощью одной успешной кражи. Между тем, разработчики вредоносных программ адаптируют свои «продукты» к постоянно растущему разнообразию моделей ATM. Вредоносная программа CutletMaker, впервые обнаруженная в 2017 году, была продана открыто вместе с подробными инструкциями по цене 5000 долларов США.
Самое важное, что касается вредоносного ПО ATM, это не его внутренняя работа, а способ установки. Первым шагом для защиты банков и их клиентов является выявление потенциальных инфекционных векторов и уязвимых компонентов. В этом отчете мы поделимся результатами анализа безопасности ATM, проведенного нашей компанией в 2017-2018 годах, обсудим различные типы возможных логических атак, выявленных в ходе такой работы, и предоставим рекомендации по обеспечению безопасности банкоматов.
Несколько месяцев назад, в октябре 2017 года, в Мексике произошла серия таких атак. Нападавшие специально подготовили заранее загруженный вредоносный диск и переключили его с оригинального жесткого диска ATM. Чтобы восстановить соединение с банкоматом в банкомате, злоумышленники эмулировали физическую аутентификацию, которая необходима для подтверждения того, что авторизованный доступ к внутреннему безопасному банкомату был получен. С помощью медицинского эндоскопа нападавшим удалось манипулировать диспенсерными датчиками. Согласно отчетам NCR, в тот же период были также зарегистрированы атаки Black Box. Вместо того, чтобы отключать жесткий диск ATM, злоумышленники подключили специальное устройство («Черный ящик») для отправки команд в банкомат, из которого затем были собраны деньги злоумышленниками. В январе 2018 года эти нападения распространились на Соединенные Штаты.
Что общего у этих инцидентов было то, что вместо того, чтобы пытаться физически вытащить деньги из банкоматов, злоумышленники опустошали свои цели с помощью вредоносных программ или специальных хакерских устройств. Такие логические атаки требуют большего технического мастерства и подготовки, но вознаграждают преступников тихим методом кражи, который снижает риск быть пойманным.
Хотя логические атаки являются новинкой в Соединенных Штатах, они долгое время используются в остальном мире. Первые сообщения о вредоносном ПО для вредоносных программ появились в 2009 году, с обнаружением скиммера-трояна, способного украсть средства и данные банковских карт. С тех пор логические атаки становятся все более популярными среди киберпреступников. Эта тенденция подчеркивается в отчете Европейской ассоциации безопасных транзакций (ВОСТОК) об атаках АТМ в 2017 году. По сравнению с 2016 годом число логических атак в Европе утроилось в 2017 году, общий ущерб составил 1,52 миллиона евро.
Скиммер, используемый в самых первых атаках, все еще находится в активном развитии. Появились и другие семейства вредоносных программ, включая GreenDispenser, Alice, Ripper, Radpin и Ploutus. Все это доступно на форумах darkweb. При цене от 1500 долларов такие вредоносные программы относительно дороги. Но потенциальная прибыль огромна. Атакующие могут окупить свои первоначальные издержки с помощью одной успешной кражи. Между тем, разработчики вредоносных программ адаптируют свои «продукты» к постоянно растущему разнообразию моделей ATM. Вредоносная программа CutletMaker, впервые обнаруженная в 2017 году, была продана открыто вместе с подробными инструкциями по цене 5000 долларов США.
Самое важное, что касается вредоносного ПО ATM, это не его внутренняя работа, а способ установки. Первым шагом для защиты банков и их клиентов является выявление потенциальных инфекционных векторов и уязвимых компонентов. В этом отчете мы поделимся результатами анализа безопасности ATM, проведенного нашей компанией в 2017-2018 годах, обсудим различные типы возможных логических атак, выявленных в ходе такой работы, и предоставим рекомендации по обеспечению безопасности банкоматов.
Наша выборка состоит из 26 банкоматов, для которых мы выполнили максимально полный анализ безопасности в течение рассматриваемого периода времени. Эти банкоматы были изготовлены NCR, Diebold Nixdorf и GRGBanking. Каждый банкомат имел уникальную конфигурацию. Диапазон возможных атак против какой-либо одной модели сильно варьировался в зависимости от типа подключения к процессинговому центру, установленного программного обеспечения, мер безопасности и других факторов. В следующей таблице представлен обзор характеристик этих банкоматов.
Прежде чем смотреть на сценарии атак, давайте сначала лучше понять, что такое банкомат и какие компоненты банкоматов могут представлять интерес для злоумышленников.
Банкомат состоит из двух основных частей: шкаф и сейф. Корпус (основной корпус) содержит компьютер ATM, который подключен ко всем другим устройствам: сетевому оборудованию, считывателю карт, клавиатуре (PIN-клавиатуре) и банкомату (сам диспенсер находится в сейфе, но разъем отсутствует) , Шкаф практически не защищен, только с пластиковой дверью, закрепленной тривиальным замком. Более того, производители обычно используют один и тот же замок для всех банкоматов той же серии. Ключи для этих замков можно легко купить в Интернете, хотя нападающие также могут выбрать их или просверлить сквозь хрупкий пластик. Сейф более прочный, из стали и бетона, и содержит только банкомат и модуль приема наличных.
Обычно компьютер работает в Windows, в специальной встроенной версии, специально разработанной для использования в банкоматах. Только администраторы должны иметь доступ к Windows; другие пользователи не должны иметь такой доступ. Вот почему пользовательские приложения работают в режиме киоска. Эти приложения предоставляют пользователю все необходимые функции: это интерфейс, который мы видим при обычном использовании ATM.
Чтобы выполнить свою работу, приложение должно обмениваться данными с периферийными устройствами ATM: получить информацию о карте от устройства чтения карт, получить пользовательский ввод с клавиатуры и отправить команды в банкомат. Это сообщение происходит с использованием XFS (расширения для финансовых услуг), стандарта для упрощения и централизации контроля оборудования. С XFS диспетчер оборудования делает API доступным для всех приложений Windows и пересылает запросы на устройства. Команды для каждого устройства, подключенного к XFS, отправляются через соответствующий поставщик услуг (драйвер устройства). Аппаратный менеджер переводит функции API в функции SPI и перенаправляет результат поставщикам услуг. Каждый поставщик банкоматов реализует XFS по-своему.
АТМ никогда не решает отказаться от наличных денег самостоятельно. При обработке транзакции он связывается с обрабатывающим центром банка. Это соединение является проводным или беспроводным (например, через мобильную сеть передачи данных). Важно обеспечить соединение с перехватом данных. В большинстве случаев клиенты VPN или программные или аппаратные клиенты выполняют эту задачу.
Обмен данными с обрабатывающим центром чаще всего происходит по протоколам NDC или DDC, хотя банки иногда используют свои собственные методы. Помимо центра обработки данных, банкомат также подключен к внутренней сети банка (для удаленного администрирования) и к серверу обновления программного обеспечения.
Для преступников интересные части банкомата включают компьютер, сетевое оборудование и основные периферийные устройства (устройство для чтения карт и банкомат). Атака на эти компоненты может позволить перехватывать данные карты, мешать обработке транзакций центром обработки или сообщать диспенсеру о выдаче наличных. Для таких атак преступник требует физического доступа к шкафу банкомата или к соединению с сетью, на которой расположен банкомат.
Типы уязвимостей.
Уязвимости ATM, обнаруженные в анализе безопасности, подразделяются на четыре категории:
* Недостаточная безопасность сети
* Недостаточная периферийная защита
* Неправильная настройка систем или устройств
* Уязвимости или неправильная настройка управления приложениями
В случае недостаточной сетевой безопасности преступник, имеющий доступ к сети банкоматов, может ориентироваться на доступные сетевые службы, перехватывать и обманывать трафик и атаковать сетевое оборудование. Преступники могут также обманывать ответы от обрабатывающего центра или получать контроль над банкоматом. Протестированные банкоматы часто отображали плохую защиту брандмауэра и недостаточную защиту данных, передаваемых между банкоматом и центром обработки.
Во многих случаях причиной недостаточной периферийной защиты является отсутствие аутентификации между периферийными устройствами и операционной системой ATM. В результате преступник, способный заразить банкомат вредоносными программами, может обращаться к этим устройствам или напрямую подключать свое оборудование к диспенсеру или считывателю карт. Затем преступник может украсть деньги или перехватить данные карты.
Неправильная конфигурация относится к пробелам в защите, которые преступник может злоупотреблять, если способен получить доступ к шкафу банкомата: отсутствие шифрования жесткого диска, ошибки аутентификации, плохая защита от выхода из режима киоска и возможность подключения к произвольным устройствам.
Четвертая категория состоит из уязвимостей Application Control. Такие решения предназначены для предотвращения выполнения нежелательного кода в банкомате, но на практике часто не соответствуют их выставлению счетов. Уязвимости могут скрываться в коде Application Control или в результате неправильной настройки.
В следующем разделе мы подробно расскажем об уязвимостях, обнаруженных нашими специалистами, и о возможных сценариях атаки, успешно продемонстрированных во время тестирования.
Банкомат состоит из двух основных частей: шкаф и сейф. Корпус (основной корпус) содержит компьютер ATM, который подключен ко всем другим устройствам: сетевому оборудованию, считывателю карт, клавиатуре (PIN-клавиатуре) и банкомату (сам диспенсер находится в сейфе, но разъем отсутствует) , Шкаф практически не защищен, только с пластиковой дверью, закрепленной тривиальным замком. Более того, производители обычно используют один и тот же замок для всех банкоматов той же серии. Ключи для этих замков можно легко купить в Интернете, хотя нападающие также могут выбрать их или просверлить сквозь хрупкий пластик. Сейф более прочный, из стали и бетона, и содержит только банкомат и модуль приема наличных.
Обычно компьютер работает в Windows, в специальной встроенной версии, специально разработанной для использования в банкоматах. Только администраторы должны иметь доступ к Windows; другие пользователи не должны иметь такой доступ. Вот почему пользовательские приложения работают в режиме киоска. Эти приложения предоставляют пользователю все необходимые функции: это интерфейс, который мы видим при обычном использовании ATM.
Чтобы выполнить свою работу, приложение должно обмениваться данными с периферийными устройствами ATM: получить информацию о карте от устройства чтения карт, получить пользовательский ввод с клавиатуры и отправить команды в банкомат. Это сообщение происходит с использованием XFS (расширения для финансовых услуг), стандарта для упрощения и централизации контроля оборудования. С XFS диспетчер оборудования делает API доступным для всех приложений Windows и пересылает запросы на устройства. Команды для каждого устройства, подключенного к XFS, отправляются через соответствующий поставщик услуг (драйвер устройства). Аппаратный менеджер переводит функции API в функции SPI и перенаправляет результат поставщикам услуг. Каждый поставщик банкоматов реализует XFS по-своему.
АТМ никогда не решает отказаться от наличных денег самостоятельно. При обработке транзакции он связывается с обрабатывающим центром банка. Это соединение является проводным или беспроводным (например, через мобильную сеть передачи данных). Важно обеспечить соединение с перехватом данных. В большинстве случаев клиенты VPN или программные или аппаратные клиенты выполняют эту задачу.
Обмен данными с обрабатывающим центром чаще всего происходит по протоколам NDC или DDC, хотя банки иногда используют свои собственные методы. Помимо центра обработки данных, банкомат также подключен к внутренней сети банка (для удаленного администрирования) и к серверу обновления программного обеспечения.
Для преступников интересные части банкомата включают компьютер, сетевое оборудование и основные периферийные устройства (устройство для чтения карт и банкомат). Атака на эти компоненты может позволить перехватывать данные карты, мешать обработке транзакций центром обработки или сообщать диспенсеру о выдаче наличных. Для таких атак преступник требует физического доступа к шкафу банкомата или к соединению с сетью, на которой расположен банкомат.
Типы уязвимостей.
Уязвимости ATM, обнаруженные в анализе безопасности, подразделяются на четыре категории:
* Недостаточная безопасность сети
* Недостаточная периферийная защита
* Неправильная настройка систем или устройств
* Уязвимости или неправильная настройка управления приложениями
В случае недостаточной сетевой безопасности преступник, имеющий доступ к сети банкоматов, может ориентироваться на доступные сетевые службы, перехватывать и обманывать трафик и атаковать сетевое оборудование. Преступники могут также обманывать ответы от обрабатывающего центра или получать контроль над банкоматом. Протестированные банкоматы часто отображали плохую защиту брандмауэра и недостаточную защиту данных, передаваемых между банкоматом и центром обработки.
Во многих случаях причиной недостаточной периферийной защиты является отсутствие аутентификации между периферийными устройствами и операционной системой ATM. В результате преступник, способный заразить банкомат вредоносными программами, может обращаться к этим устройствам или напрямую подключать свое оборудование к диспенсеру или считывателю карт. Затем преступник может украсть деньги или перехватить данные карты.
Неправильная конфигурация относится к пробелам в защите, которые преступник может злоупотреблять, если способен получить доступ к шкафу банкомата: отсутствие шифрования жесткого диска, ошибки аутентификации, плохая защита от выхода из режима киоска и возможность подключения к произвольным устройствам.
Четвертая категория состоит из уязвимостей Application Control. Такие решения предназначены для предотвращения выполнения нежелательного кода в банкомате, но на практике часто не соответствуют их выставлению счетов. Уязвимости могут скрываться в коде Application Control или в результате неправильной настройки.
В следующем разделе мы подробно расскажем об уязвимостях, обнаруженных нашими специалистами, и о возможных сценариях атаки, успешно продемонстрированных во время тестирования.
Мы разделили сценарии нападения на две категории, исходя из их цели: получение денег из сейфа или копирование информации с банковских карт клиентов.
Наличное ограбление.
1) Сетевые атаки.
Для сетевых атак основным требованием является доступ к сети, к которой подключен ATM. Если злоумышленник является сотрудником банка или интернет-провайдера, этот доступ можно получить удаленно. В противном случае злоумышленник должен физически присутствовать, чтобы открыть банкомат, отключить кабель Ethernet и подключить вредоносное устройство к модему (или заменить модем таким устройством). Затем можно подключиться к устройству и атаковать доступные сетевые службы или попробовать атаки «человек в середине». Иногда модем находится за пределами шкафа банкомата, поэтому злоумышленнику даже не нужно будет открывать банкомат для выполнения изменений.
Здесь мы не будем разбираться в атаках, связанных с хакерской ИТ-инфраструктурой банка. Достаточно сказать, что злоумышленник, способный проникнуть во внутреннюю сеть банка, также получит доступ к управлению банкоматами и возможность размещать вредоносное ПО в банкоматах. Например, это был modus operandi группы Cobalt. В начале 2018 года мы сообщили о наших выводах о безопасности банковских информационных систем: нашим специалистам удалось получить несанкционированный доступ к управлению банкоматами в 25 процентах проверенных банков.
2) Spoofing обрабатывающего центра
* В опасности: 27% проверенных банкоматов
Если данные между банкоматом и центром обработки не защищены, злоумышленник может манипулировать процессом подтверждения транзакции. Эмулятор технологического центра утверждает любой запрос, полученный от банкомата, и в своем ответе отправляет команду на раздачу наличных. Эмулятор подключается через кабель Ethernet к шкафу ATM или заменяет сетевое оборудование.
Подмена центра обработки возможна, когда три условия выполняются одновременно:
1) Данные между банкоматом и обрабатывающим центром специально не зашифрованы. Поскольку протоколы NDC и DDC не используют шифрование данных, злоумышленник может перехватывать и изменять информацию.
2) Защита VPN плохо реализована. В проверенных нами банкоматах могут быть отключены как программные, так и аппаратные VPN-решения. Если клиент VPN размещен вне ATM или если злоумышленник может получить доступ к шкафу ATM, злоумышленник может установить собственное оборудование между оборудованием ATM и VPN.
3) Коды аутентификации сообщений не используются в запросах и ответах транзакций, что позволяет изменять трафик без обнаружения.
Во время тестирования эксперты определили еще один сценарий атаки, в котором могут быть подделаны ответы от процессингового центра. ARP Spoofing - это атака «человек в середине», в которой изменения внесены в таблицу ARP путем отправки фальшивых сообщений ответа ARP. В результате трафик перенаправляется через оборудование атакующего. Если трафик не зашифрован, злоумышленник может изменить содержимое ответа, например, увеличивая количество банкнот для раздачи.
3) Эксплуатация уязвимостей в доступных сетевых сервисах
* В группе риска: 58% проверенных банкоматов
Злоумышленник может использовать уязвимости в доступных сетевых службах, включая службы удаленного управления, и тем самым выполнять произвольные команды. Последствия включают в себя отключение механизмов безопасности и контроль вывода банкнот из раздаточного устройства.
Уязвимости, необходимые для этого вектора атаки, вызваны плохой защитой брандмауэра, использованием уязвимых или устаревших версий программного обеспечения (например, уязвимости CVE-2017-8464 и CVE-2018-1038 позволяют удаленно запускать произвольный код и впоследствии эскалация привилегий) , и неправильная конфигурация средств безопасности (белизны приложений, как правило, чрезмерно щедры, как подробно описано в этом отчете).
4) Нападения на сетевые устройства.
В опасности: 23% проверенных банкоматов
Другой способ получить доступ к сети - настроить таргетинг на сетевые устройства, подключенные к банкомату. Атакующие могут взять под контроль оборудование, а затем начать таргетинг на другие банкоматы в той же сети и даже в ИТ-инфраструктуру банка.
Вот пример, с которым столкнулись наши эксперты в ходе одного проекта. Они анализировали прошивку GSM-модема, используемого для создания мобильной сети передачи данных. Сеть обрабатывает трафик с центром обработки, видеоматериалами, уведомлениями о событиях и удаленным доступом к банкоматам. Хосты в сети могут общаться друг с другом с помощью специального протокола. Этот протокол поддерживает специальные сообщения, такие как получение информации о хосте, чтение файлов конфигурации и выполнение команд ОС.
Трафик сообщений шифруется с использованием ключа сеанса, который генерируется на основе ключа хоста. В свою очередь, ключ хоста шифруется на основе еще одного ключа, сохраненного в прошивке модема. Злоумышленник с физическим доступом к модему может считывать прошивку с помощью специального оборудования и программного обеспечения. Во время тестирования эксперты извлекли ключ из прошивки и подключились к сети.
Конфигурационные файлы хостов в сети содержали адреса серверов во внутренней банковской сети. Эти серверы были доступны из тестируемой мобильной сети передачи данных и поддерживали уже упомянутые протокольные сообщения, например, для запуска команд ОС. Таким образом, получив ключ от прошивки модема, злоумышленник может взять под контроль внутреннюю инфраструктуру банка. Тестерам удалось продвинуть атаку, чтобы получить доступ к платежным шлюзам, базам данных и видеосерверам.
В другом проекте потенциальный вектор атаки включал в себя тот факт, что после установки GSM-модема сетевые интерфейсы для удаленного администрирования оставались открытыми и использовались учетные данные по умолчанию.
Эксперты подключили GSM-модем к собственной (поддельной) базовой станции. Затем они открыли два открытых сетевых интерфейса: Telnet и интерфейс веб-администрирования. Комически неустойчивая комбинация root: root был установлен на устройстве, что позволило быстро получить доступ с максимальными привилегиями через Telnet. Слабые учетные данные были грубостоящими для веб-интерфейса. Злоумышленник может использовать это, чтобы направлять сетевой трафик на вредоносное устройство, перехватывать запросы и отсылать ответы от центра обработки.
Рекомендации:
* Поместите сетевое оборудование внутри банкомата.
* Используйте программный или аппаратный VPN-клиент, расположенный внутри банкомата.
* Используйте надежное шифрование данных между банкоматом и центром обработки.
* Включите код проверки подлинности сообщения во всех запросах и ответах на транзакции.
* Защищать или отключать неиспользуемые сетевые протоколы сетевого уровня.
* Настройте брандмауэр, чтобы разрешить удаленный доступ только к службам, необходимым для работы ATM.
* Закройте все сетевые интерфейсы, доступ к которым не нужен.
* Удаленный доступ должен разрешаться только из адресов администраторов из белого списка.
* Обеспечьте надежную политику паролей для доступа к удаленному управлению.
* Регулярно устанавливайте обновления операционной системы и приложений.
* Записывайте и контролируйте события безопасности.
5) Черный ящик
Как уже упоминалось, банкомат находится в сейфе, который физически защищен. Но подключение банкомата к компьютеру АТМ находится за пределами сейфа и, следовательно, легкодоступно. В некоторых случаях преступники просверливают отверстия на передней панели банкомата, чтобы получить доступ к раздаточному кабелю. При таком доступе преступники могут затем напрямую подключить дозатор на свое устройство, которое запрограммировано на отправку команд выдачи наличных. Это устройство чаще всего представляет собой простой одноплатный компьютер (например, Raspberry Pi) с модифицированными версиями диагностических утилит ATM. Утилиты диагностики обычно запускают проверки, чтобы убедиться, что доступ является законным, но злоумышленники знают, как отключить эти проверки и любые другие механизмы безопасности. Эти методы объединены в так называемые атаки Black Box.
Чтобы предотвратить атаки Black Box, производители банкоматов рекомендуют использовать новейшие версии XFS для надежного шифрования и физической аутентификации между ОС и диспенсером. Когда присутствует физическая аутентификация, ключи шифрования отправляются только после подтверждения законного доступа к сейфу. Однако изобретательные преступники разработали собственные контрмеры. Например, в недавних нападениях в Мексике одна преступная группа смогла эмулировать физическую аутентификацию с помощью эндоскопа.
Шифрование не всегда хорошо реализовано даже в самых последних версиях программного обеспечения. Например, в 2018 году эксперты Positive Technologies, изучающие платформу APTRA XFS от NCR, обнаружили уязвимости, которые позволили установить модифицированную версию прошивки на контроллере дозатора и, следовательно, обходить физическую аутентификацию.
В половине изученных банкоматов использовалась уязвимая система защиты NCR. В 19 процентах банкоматов вообще не было защиты от атак Black Box.
Рекомендации:
* Используйте физическую аутентификацию между ОС и диспенсером для подтверждения законного доступа к сейфу.
* Шифровать данные между ОС ATM и диспенсером.
* Используйте последние версии программного обеспечения и регулярно устанавливайте обновления.
* Записывайте и контролируйте события безопасности.
* Рассмотрите возможность использования внешних устройств (таких как Cerber Lock или ATM Keeper) для защиты от несанкционированных подключений к банкомату
6) Выход из режима киоска.
По дизайну обычный пользователь ATM взаимодействует только с одним приложением, которое отображает информацию на экране и обрабатывает ввод данных от пользователя. Приложение работает в режиме киоска, что означает, что пользователь не может запускать другие программы или вообще обращаться к функциям ОС. Выйдя из режима киоска, злоумышленник может обойти эти ограничения и запустить команды в ОС ATM.
Вот один из возможных сценариев атаки:
* Злоумышленник берет устройство (например, Raspberry Pi, Teensy или BeagleBone) для эмуляции ввода пользовательской клавиатуры и подключения его к интерфейсу USB или PS / 2 в банкомате. Следующий этап атаки может быть полностью автоматизирован или включать дистанционное подключение к устройству
* Впоследствии злоумышленник получает доступ к ОС. Выход из режима киоска был возможен в каждом случае с помощью горячих клавиш. Ограничения на входные данные были либо отсутствующими, либо недостаточными для предотвращения этого.
* Заключительный этап состоит в том, чтобы обойти Application Control (предназначенный для предотвращения выполнения нежелательного кода) и получить возможность отправлять команды в банкомат.
Уязвимости, обнаруженные при тестировании
В проверенных банкоматах были ошибки конфигурации, в основном связанные с недостаточным ограничением прав учетной записи пользователя, а также уязвимостью в Application Control.
Большинство проверенных банкоматов допускают свободное подключение устройств USB и PS / 2. В результате преступник мог подключить клавиатуру или другое устройство, имитирующее ввод пользователя.
Важно предотвратить ввод произвольной информации, такой как определенные комбинации клавиш, которые могут использоваться для выхода из режима киоска и получения доступа к функциям ОС. В большинстве проверенных банкоматов было создано специальное программное обеспечение для выборочного отключения комбинаций клавиш. Тем не менее, в 85 процентах случаев стандартные комбинации клавиш оставались доступными, включая Alt + F4 (закрытое активное окно) и Win + Ctrl, Alt + Tab и Alt + Shift + Tab (задача переключения). Этот метод позволил закрыть окно приложения ATM-киоска и отключить приложения, ответственные за блокировку произвольного ввода с клавиатуры.
Уязвимости для выхода из режима киоска могут даже присутствовать в программном обеспечении безопасности. Например, два банкомата запускали программное обеспечение для записи видео и мониторинга событий безопасности. Окно приложения было скрыто, но во время тестирования было обнаружено, что окно появляется, если курсор находится в углу экрана. Приложение содержало функцию редактирования файлов, что позволило получить доступ к проводнику Windows, а затем к любому другому программному обеспечению на компьютере, например, Internet Explorer или FAR Manager.
Локальные политики безопасности должны быть настроены таким образом, чтобы лишить пользователей возможности чтения / записи файлов и запуска произвольных программ. В большинстве проверенных банкоматов локальные политики безопасности были плохо сконфигурированы или полностью отсутствуют.
На 92% проверенных банкоматов были установлены решения Application Control. Они предназначены для предотвращения выполнения вредоносного кода, разрешая только приложения с белыми списками. Основная слабость в конфигурации Application Control связана с тем, как создается белый список: любое программное обеспечение, уже присутствующее во время установки Application Control, классифицируется как надежное, даже если программное обеспечение не требуется для функционирования ATM. Таким образом, уязвимости в whitelisted-программном обеспечении могут быть использованы для выполнения произвольного кода и отключения защиты. Уязвимости (некоторые из них нуль-день) были обнаружены и в продуктах безопасности ATM.
Уязвимости с 0-day:
* В ходе своих исследований наши эксперты обнаружили уязвимость в течение дня в приложениях Application Control, таких как GMV Checker ATM Security, Kaspersky Embedded Systems Security и McAfee Application Control (Solidcore). В 2018 году эксперты Positive Technologies обнаружили три уязвимости в SafenSoft SoftControl: CVE-2018-13014, CVE2018-13013 и CVE-2018-13012.
* Уязвимость CVE-2018-13014 позволяет получить пароль для доступа к параметрам конфигурации. Пароль был сохранен в открытом виде в базе данных, которая сама была в папке, доступной обычным пользователям. Таким образом, злоумышленник может изменять параметры SafenSoft и даже полностью отключать защиту
* С паролем конфигурации злоумышленник может использовать вторую уязвимость CVE-2018-13013. Эта уязвимость включает в себя неспособность правильно проверить файл msiexec.exe, который используется для установки программного обеспечения. Злоумышленник может создать конфигурацию, в которой подписи файлов .msi не проверяются и, следовательно, разрешают запуск произвольного файла .msi.
* Третья уязвимость CVE-2018-13012 относится к процессу обновления программного обеспечения. SafenSoft загружает файл конфигурации и обновляет файлы по небезопасному протоколу HTTP. Целостность этих файлов не проверяется, поэтому злоумышленник может выполнить атаку «человек-в-середине», чтобы заменить файлы обновлений вредоносными.
Рекомендации
* Используйте локальные политики ОС или решения Device Control, чтобы ограничить возможность подключения периферийных устройств.
* Отключите стандартные комбинации клавиш, которые можно использовать для получения доступа к функциям ОС.
* Минимизируйте права пользователя как можно больше. Ограничьте возможности редактирования файлов, изменения значений реестра и запуска произвольных программ.
* Удалите все программное обеспечение, которое не требуется для функционирования ОрВД. Если удаление невозможно, используйте средства безопасности для ограничения программного обеспечения.
* Дважды проверяйте белые списки управления приложениями: при создании списка разрешенных приложений не включайте ненужные встроенные сервисы ОС или другие приложения, которые не являются существенными для работы ATM.
* Обеспечьте эксклюзивный доступ к логическим устройствам. Работайте с поставщиком для реализации изменений API и механизмов авторизации.
* Используйте последние версии программного обеспечения и регулярно устанавливайте обновления.
* Записывайте и контролируйте события безопасности.
7) Подключение к жесткому диску.
При подключении к жесткому диску ATM можно обойти безопасность и получить контроль над банкоматом. Мы рассмотрим несколько связанных сценариев потенциальной атаки.
Прямой доступ к жесткому диску:
* В опасности: 92% проверенных банкоматов
Самый простой способ - напрямую подключиться к жесткому диску. Если жесткий диск не зашифрован, злоумышленник может скопировать вредоносную программу с помощью команд раздатчика. Затем злоумышленнику необходимо добавить эту программу в белый список Application Control, просто изменив конфигурационные файлы. Когда ATM снова перезапускается в обычном («безопасном») режиме, программное обеспечение безопасности запустится и, по-видимому, будет функционировать, но злоумышленник теперь может запускать произвольный код и вредоносное ПО. Злоумышленник может полностью отключить программное обеспечение безопасности, например, удалив файлы с диска.
Злоумышленник также может копировать конфиденциальную информацию с жесткого диска (например, конкретное приложение или даже полное изображение на диске), а затем использовать измененные версии в будущих атаках.
Загрузка с внешнего диска:
* В опасности: 27% проверенных банкоматов
Злоумышленник может запустить ATM с внешнего диска, чтобы получить доступ к файловой системе. Порядок загрузки устанавливается в BIOS, доступ к которому должен быть защищен паролем. Но на 23% банкоматов пароль BIOS был легко угадан. На 8% банкоматов вообще не было пароля. В одном случае невозможно получить пароль администратора. Однако это не остановило бы злоумышленника: для обычных привилегий пользователя не требовался пароль, и этот пользователь мог изменить порядок загрузки. В другом случае тестеры могут запустить ATM через сеть с помощью Intel Boot Agent, переопределяя порядок загрузки BIOS.
Запустив банкомат с другого диска, злоумышленник может подключить оригинальный жесткий диск и реализовать сценарии, уже описанные в случае прямого подключения к жесткому диску ATM. Следующий скриншот демонстрирует переименование драйвера McAfee Solidcore для APTRA на жестком диске ATM после запуска ОС с внешнего диска. В результате McAfee Solidcore не запускается, когда банкомат загружается с внутреннего жесткого диска.
Уязвимости, обнаруженные при тестировании
Уязвимости, обеспечивающие доступ к файловой системе жесткого диска, вызваны недостатками аутентификации для доступа к BIOS и отсутствием шифрования диска. Вредоносные программы могут взаимодействовать с банкоматом в результате плохой защиты периферийных устройств, в частности, от отсутствия аутентификации и шифрования между ОС и устройствами.
Семейство вредоносных программ Ploutus впервые появилось в 2013 году. Атаки изначально были сосредоточены в Латинской Америке, но теперь (принимая во внимание разные варианты Ploutus) охватывают весь мир. Суммарные убытки превышают 450 миллионов долларов.
Преступники используют различные методы для заражения банкоматов, в том числе путем написания вредоносного ПО непосредственно на жестких дисках. Преступники удаляют жесткий диск ATM, подключают его к своему компьютеру, устанавливают копию вредоносного ПО и кладут жесткий диск в банкомат.
Рекомендации:
* Шифрование жестких дисков ATM. Основной поставщик NCR разработал рекомендации по лучшим методам шифрования. К ним относятся передача ключей шифрования по сети, вместо их локального хранения.
* Обеспечьте строгую проверку подлинности для доступа к BIOS.
* Используйте UEFI вместо BIOS для обеспечения контроля целостности памяти загрузки.
* Разрешить запуск только с жесткого диска ATM. Запретить запуск с внешних дисков или по сети.
8) Модификация режима загрузки.
Запуск операционной системы ATM в специальном режиме может предложить способ обойти безопасность. В тестируемых банкоматах были доступны следующие режимы загрузки:
* Режим отладки ядра
* Режим восстановления службы каталогов
* Безопасные режимы (безопасный режим, безопасный режим с использованием сети, безопасный режим с командной строкой)
В этих режимах некоторые службы и меры защиты отключены, что дает возможность выйти из режима киоска. После запуска ATM в режиме отладки и подключения к COM-портам злоумышленник может захватить полный контроль над банкоматом с помощью утилиты WinDbg.
На 88% банкоматов можно было установить другой режим загрузки. В 42 процентах случаев тестеры могли развивать эту атаку дальше и в конечном итоге снимать наличные.
Рекомендации
* Отключите возможность выбора режима загрузки из загрузчика Windows.
* Отключить доступ к режиму отладки через интерфейсы COM / USB и по сети.
9) Кража данных карты.
Магнитная полоса банковских карт содержит информацию, необходимую для совершения транзакций. Хотя магнитная полоса может вмещать до трех дорожек, обычно используются только две (Track1 и Track2). Track1 содержит номер карты, дату истечения срока действия, код услуги и имя владельца. Он также может содержать индикатор ключа подтверждения PIN-кода, значение подтверждения PIN-кода и значение подтверждения карты. Track2 дублирует всю информацию на Track1, кроме имени владельца.
Оплата магнитной полосой на POS-терминале или снятие наличных в банкомате требует только чтения Track2. Таким образом, злоумышленники пытаются скопировать информацию из Track2. Эта информация может быть использована для создания дублированных дубликатов карт, которые предлагаются для продажи на темном веб-сайте. Так называемые карточные сваливания составляют четверть всей информации, продаваемой на темном полотне. Средняя стоимость одной карты составляет 9 долларов США.
В течение многих лет преступники размещали физические карты (скиммеры) на карточнике, чтобы читать информацию непосредственно с магнитной полосы. Банки поймали и теперь широко внедряют меры по пресечению скимминга. Тем не менее, данные все равно могут быть украдены даже без скиммеров. Перехват возможен на двух этапах:
* Во время передачи данных между банкоматом и обрабатывающим центром
* Во время передачи данных между операционной системой ATM и считывателем карт
Мы кратко рассмотрим некоторые из этих сценариев атаки. Они имеют много общего со сценариями, которые уже обсуждались, и используют преимущества отказа от шифрования данных и аутентификации на критических этапах процесса транзакции.
Перехват данных между банкоматом и обрабатывающим центром.
* В группе риска: 58% проверенных банкоматов
Эта атака возможна, потому что полное значение Track2 отправляется в cleartext, и шифрование не применяется к трафику между ATM и центром обработки на уровне приложения (почти во всех банкоматах используются протоколы NDC и DDC, которые не используют шифрование). Поэтому, подключившись к сети ATM и прослушивая сетевой трафик, злоумышленник может получить информацию о банковских карточках.
Перехват данных между ОС и устройством чтения карт (через USB или COM-порт)
* В опасности: 100% проверенных банкоматов
Между устройством ATM и считывателем карт расположено специальное устройство для перехвата содержимого магнитной полосы банковских карт. Эти атаки возможны, потому что связь с устройством чтения карт не аутентифицирована или не зашифрована; данные карты отправляются в открытом виде. Такие недостатки были обнаружены во всех проверенных банкоматах.
Перехват данных между ОС и устройством чтения карт (с вредоносным ПО)
* В опасности: 100% проверенных банкоматов
Вредоносная аппаратура не требуется для чтения данных с устройства чтения карт, если злоумышленник может установить вредоносное ПО в банкомате. Это может быть выполнено любым из способов, описанных в этом отчете: изменение режима загрузки или запуск с внешнего диска, подключение непосредственно к жесткому диску, подключение устройства для эмуляции ввода пользователя или сетевой атаки.
Ни один из банкоматов не выполнял аутентификацию при обмене данными с устройством чтения карт. Поэтому любое устройство может получить к нему доступ. Все злоумышленнику нужно будет выполнить произвольный код в ОС ATM.
Скиммер, вредоносное ПО ATM, известное с 2009 года, продолжает развиваться. Новая версия Скиммер, обнаруженная в 2016 году, может украсть данные с банковских карт, включая PIN-коды. Преступники устанавливали вредоносное ПО через внутреннюю сеть банка или физический доступ к банкомату. Инфицированный банкомат может накапливать данные в течение нескольких месяцев подряд, не вызывая подозрений. Затем преступники собрали свой выбор. Преступник или сообщник подошел бы к банкомату, вложил специальную карточку и введите ключ сеанса для активации вредоносного ПО. Затем Скиммер мог записать все данные на карту или распечатать их на бумаге приема. Помимо Скиммер, другие вредоносные программы для кражи информации банковской карты включают Ripper и Suceful.
В 2016 году преступники в Японии с клонированными картами с 12,7 млн. Долларов за три часа.
В августе 2018 года аналогичная атака ударила по Cosmos Bank в Индии: преступники похитили более 11 миллионов долларов с помощью клонированных карт.
Рекомендации:
* Шифруйте обмен данными с устройством чтения карт. Не отправляйте полное содержимое Track2 в текст.
* Внедрите рекомендации, приведенные в этом отчете, чтобы предотвратить выполнение произвольного кода.
* Внедрите рекомендации, приведенные в этом отчете, чтобы предотвратить сетевые атаки, направленные на трафик между банкоматом и центром обработки.
Наличное ограбление.
1) Сетевые атаки.
Для сетевых атак основным требованием является доступ к сети, к которой подключен ATM. Если злоумышленник является сотрудником банка или интернет-провайдера, этот доступ можно получить удаленно. В противном случае злоумышленник должен физически присутствовать, чтобы открыть банкомат, отключить кабель Ethernet и подключить вредоносное устройство к модему (или заменить модем таким устройством). Затем можно подключиться к устройству и атаковать доступные сетевые службы или попробовать атаки «человек в середине». Иногда модем находится за пределами шкафа банкомата, поэтому злоумышленнику даже не нужно будет открывать банкомат для выполнения изменений.
Здесь мы не будем разбираться в атаках, связанных с хакерской ИТ-инфраструктурой банка. Достаточно сказать, что злоумышленник, способный проникнуть во внутреннюю сеть банка, также получит доступ к управлению банкоматами и возможность размещать вредоносное ПО в банкоматах. Например, это был modus operandi группы Cobalt. В начале 2018 года мы сообщили о наших выводах о безопасности банковских информационных систем: нашим специалистам удалось получить несанкционированный доступ к управлению банкоматами в 25 процентах проверенных банков.
2) Spoofing обрабатывающего центра
* В опасности: 27% проверенных банкоматов
Если данные между банкоматом и центром обработки не защищены, злоумышленник может манипулировать процессом подтверждения транзакции. Эмулятор технологического центра утверждает любой запрос, полученный от банкомата, и в своем ответе отправляет команду на раздачу наличных. Эмулятор подключается через кабель Ethernet к шкафу ATM или заменяет сетевое оборудование.
Подмена центра обработки возможна, когда три условия выполняются одновременно:
1) Данные между банкоматом и обрабатывающим центром специально не зашифрованы. Поскольку протоколы NDC и DDC не используют шифрование данных, злоумышленник может перехватывать и изменять информацию.
2) Защита VPN плохо реализована. В проверенных нами банкоматах могут быть отключены как программные, так и аппаратные VPN-решения. Если клиент VPN размещен вне ATM или если злоумышленник может получить доступ к шкафу ATM, злоумышленник может установить собственное оборудование между оборудованием ATM и VPN.
3) Коды аутентификации сообщений не используются в запросах и ответах транзакций, что позволяет изменять трафик без обнаружения.
Во время тестирования эксперты определили еще один сценарий атаки, в котором могут быть подделаны ответы от процессингового центра. ARP Spoofing - это атака «человек в середине», в которой изменения внесены в таблицу ARP путем отправки фальшивых сообщений ответа ARP. В результате трафик перенаправляется через оборудование атакующего. Если трафик не зашифрован, злоумышленник может изменить содержимое ответа, например, увеличивая количество банкнот для раздачи.
3) Эксплуатация уязвимостей в доступных сетевых сервисах
* В группе риска: 58% проверенных банкоматов
Злоумышленник может использовать уязвимости в доступных сетевых службах, включая службы удаленного управления, и тем самым выполнять произвольные команды. Последствия включают в себя отключение механизмов безопасности и контроль вывода банкнот из раздаточного устройства.
Уязвимости, необходимые для этого вектора атаки, вызваны плохой защитой брандмауэра, использованием уязвимых или устаревших версий программного обеспечения (например, уязвимости CVE-2017-8464 и CVE-2018-1038 позволяют удаленно запускать произвольный код и впоследствии эскалация привилегий) , и неправильная конфигурация средств безопасности (белизны приложений, как правило, чрезмерно щедры, как подробно описано в этом отчете).
4) Нападения на сетевые устройства.
В опасности: 23% проверенных банкоматов
Другой способ получить доступ к сети - настроить таргетинг на сетевые устройства, подключенные к банкомату. Атакующие могут взять под контроль оборудование, а затем начать таргетинг на другие банкоматы в той же сети и даже в ИТ-инфраструктуру банка.
Вот пример, с которым столкнулись наши эксперты в ходе одного проекта. Они анализировали прошивку GSM-модема, используемого для создания мобильной сети передачи данных. Сеть обрабатывает трафик с центром обработки, видеоматериалами, уведомлениями о событиях и удаленным доступом к банкоматам. Хосты в сети могут общаться друг с другом с помощью специального протокола. Этот протокол поддерживает специальные сообщения, такие как получение информации о хосте, чтение файлов конфигурации и выполнение команд ОС.
Трафик сообщений шифруется с использованием ключа сеанса, который генерируется на основе ключа хоста. В свою очередь, ключ хоста шифруется на основе еще одного ключа, сохраненного в прошивке модема. Злоумышленник с физическим доступом к модему может считывать прошивку с помощью специального оборудования и программного обеспечения. Во время тестирования эксперты извлекли ключ из прошивки и подключились к сети.
Конфигурационные файлы хостов в сети содержали адреса серверов во внутренней банковской сети. Эти серверы были доступны из тестируемой мобильной сети передачи данных и поддерживали уже упомянутые протокольные сообщения, например, для запуска команд ОС. Таким образом, получив ключ от прошивки модема, злоумышленник может взять под контроль внутреннюю инфраструктуру банка. Тестерам удалось продвинуть атаку, чтобы получить доступ к платежным шлюзам, базам данных и видеосерверам.
В другом проекте потенциальный вектор атаки включал в себя тот факт, что после установки GSM-модема сетевые интерфейсы для удаленного администрирования оставались открытыми и использовались учетные данные по умолчанию.
Эксперты подключили GSM-модем к собственной (поддельной) базовой станции. Затем они открыли два открытых сетевых интерфейса: Telnet и интерфейс веб-администрирования. Комически неустойчивая комбинация root: root был установлен на устройстве, что позволило быстро получить доступ с максимальными привилегиями через Telnet. Слабые учетные данные были грубостоящими для веб-интерфейса. Злоумышленник может использовать это, чтобы направлять сетевой трафик на вредоносное устройство, перехватывать запросы и отсылать ответы от центра обработки.
Рекомендации:
* Поместите сетевое оборудование внутри банкомата.
* Используйте программный или аппаратный VPN-клиент, расположенный внутри банкомата.
* Используйте надежное шифрование данных между банкоматом и центром обработки.
* Включите код проверки подлинности сообщения во всех запросах и ответах на транзакции.
* Защищать или отключать неиспользуемые сетевые протоколы сетевого уровня.
* Настройте брандмауэр, чтобы разрешить удаленный доступ только к службам, необходимым для работы ATM.
* Закройте все сетевые интерфейсы, доступ к которым не нужен.
* Удаленный доступ должен разрешаться только из адресов администраторов из белого списка.
* Обеспечьте надежную политику паролей для доступа к удаленному управлению.
* Регулярно устанавливайте обновления операционной системы и приложений.
* Записывайте и контролируйте события безопасности.
5) Черный ящик
Как уже упоминалось, банкомат находится в сейфе, который физически защищен. Но подключение банкомата к компьютеру АТМ находится за пределами сейфа и, следовательно, легкодоступно. В некоторых случаях преступники просверливают отверстия на передней панели банкомата, чтобы получить доступ к раздаточному кабелю. При таком доступе преступники могут затем напрямую подключить дозатор на свое устройство, которое запрограммировано на отправку команд выдачи наличных. Это устройство чаще всего представляет собой простой одноплатный компьютер (например, Raspberry Pi) с модифицированными версиями диагностических утилит ATM. Утилиты диагностики обычно запускают проверки, чтобы убедиться, что доступ является законным, но злоумышленники знают, как отключить эти проверки и любые другие механизмы безопасности. Эти методы объединены в так называемые атаки Black Box.
Чтобы предотвратить атаки Black Box, производители банкоматов рекомендуют использовать новейшие версии XFS для надежного шифрования и физической аутентификации между ОС и диспенсером. Когда присутствует физическая аутентификация, ключи шифрования отправляются только после подтверждения законного доступа к сейфу. Однако изобретательные преступники разработали собственные контрмеры. Например, в недавних нападениях в Мексике одна преступная группа смогла эмулировать физическую аутентификацию с помощью эндоскопа.
Шифрование не всегда хорошо реализовано даже в самых последних версиях программного обеспечения. Например, в 2018 году эксперты Positive Technologies, изучающие платформу APTRA XFS от NCR, обнаружили уязвимости, которые позволили установить модифицированную версию прошивки на контроллере дозатора и, следовательно, обходить физическую аутентификацию.
В половине изученных банкоматов использовалась уязвимая система защиты NCR. В 19 процентах банкоматов вообще не было защиты от атак Black Box.
Рекомендации:
* Используйте физическую аутентификацию между ОС и диспенсером для подтверждения законного доступа к сейфу.
* Шифровать данные между ОС ATM и диспенсером.
* Используйте последние версии программного обеспечения и регулярно устанавливайте обновления.
* Записывайте и контролируйте события безопасности.
* Рассмотрите возможность использования внешних устройств (таких как Cerber Lock или ATM Keeper) для защиты от несанкционированных подключений к банкомату
6) Выход из режима киоска.
По дизайну обычный пользователь ATM взаимодействует только с одним приложением, которое отображает информацию на экране и обрабатывает ввод данных от пользователя. Приложение работает в режиме киоска, что означает, что пользователь не может запускать другие программы или вообще обращаться к функциям ОС. Выйдя из режима киоска, злоумышленник может обойти эти ограничения и запустить команды в ОС ATM.
Вот один из возможных сценариев атаки:
* Злоумышленник берет устройство (например, Raspberry Pi, Teensy или BeagleBone) для эмуляции ввода пользовательской клавиатуры и подключения его к интерфейсу USB или PS / 2 в банкомате. Следующий этап атаки может быть полностью автоматизирован или включать дистанционное подключение к устройству
* Впоследствии злоумышленник получает доступ к ОС. Выход из режима киоска был возможен в каждом случае с помощью горячих клавиш. Ограничения на входные данные были либо отсутствующими, либо недостаточными для предотвращения этого.
* Заключительный этап состоит в том, чтобы обойти Application Control (предназначенный для предотвращения выполнения нежелательного кода) и получить возможность отправлять команды в банкомат.
Уязвимости, обнаруженные при тестировании
В проверенных банкоматах были ошибки конфигурации, в основном связанные с недостаточным ограничением прав учетной записи пользователя, а также уязвимостью в Application Control.
Большинство проверенных банкоматов допускают свободное подключение устройств USB и PS / 2. В результате преступник мог подключить клавиатуру или другое устройство, имитирующее ввод пользователя.
Важно предотвратить ввод произвольной информации, такой как определенные комбинации клавиш, которые могут использоваться для выхода из режима киоска и получения доступа к функциям ОС. В большинстве проверенных банкоматов было создано специальное программное обеспечение для выборочного отключения комбинаций клавиш. Тем не менее, в 85 процентах случаев стандартные комбинации клавиш оставались доступными, включая Alt + F4 (закрытое активное окно) и Win + Ctrl, Alt + Tab и Alt + Shift + Tab (задача переключения). Этот метод позволил закрыть окно приложения ATM-киоска и отключить приложения, ответственные за блокировку произвольного ввода с клавиатуры.
Уязвимости для выхода из режима киоска могут даже присутствовать в программном обеспечении безопасности. Например, два банкомата запускали программное обеспечение для записи видео и мониторинга событий безопасности. Окно приложения было скрыто, но во время тестирования было обнаружено, что окно появляется, если курсор находится в углу экрана. Приложение содержало функцию редактирования файлов, что позволило получить доступ к проводнику Windows, а затем к любому другому программному обеспечению на компьютере, например, Internet Explorer или FAR Manager.
Локальные политики безопасности должны быть настроены таким образом, чтобы лишить пользователей возможности чтения / записи файлов и запуска произвольных программ. В большинстве проверенных банкоматов локальные политики безопасности были плохо сконфигурированы или полностью отсутствуют.
На 92% проверенных банкоматов были установлены решения Application Control. Они предназначены для предотвращения выполнения вредоносного кода, разрешая только приложения с белыми списками. Основная слабость в конфигурации Application Control связана с тем, как создается белый список: любое программное обеспечение, уже присутствующее во время установки Application Control, классифицируется как надежное, даже если программное обеспечение не требуется для функционирования ATM. Таким образом, уязвимости в whitelisted-программном обеспечении могут быть использованы для выполнения произвольного кода и отключения защиты. Уязвимости (некоторые из них нуль-день) были обнаружены и в продуктах безопасности ATM.
Уязвимости с 0-day:
* В ходе своих исследований наши эксперты обнаружили уязвимость в течение дня в приложениях Application Control, таких как GMV Checker ATM Security, Kaspersky Embedded Systems Security и McAfee Application Control (Solidcore). В 2018 году эксперты Positive Technologies обнаружили три уязвимости в SafenSoft SoftControl: CVE-2018-13014, CVE2018-13013 и CVE-2018-13012.
* Уязвимость CVE-2018-13014 позволяет получить пароль для доступа к параметрам конфигурации. Пароль был сохранен в открытом виде в базе данных, которая сама была в папке, доступной обычным пользователям. Таким образом, злоумышленник может изменять параметры SafenSoft и даже полностью отключать защиту
* С паролем конфигурации злоумышленник может использовать вторую уязвимость CVE-2018-13013. Эта уязвимость включает в себя неспособность правильно проверить файл msiexec.exe, который используется для установки программного обеспечения. Злоумышленник может создать конфигурацию, в которой подписи файлов .msi не проверяются и, следовательно, разрешают запуск произвольного файла .msi.
* Третья уязвимость CVE-2018-13012 относится к процессу обновления программного обеспечения. SafenSoft загружает файл конфигурации и обновляет файлы по небезопасному протоколу HTTP. Целостность этих файлов не проверяется, поэтому злоумышленник может выполнить атаку «человек-в-середине», чтобы заменить файлы обновлений вредоносными.
Рекомендации
* Используйте локальные политики ОС или решения Device Control, чтобы ограничить возможность подключения периферийных устройств.
* Отключите стандартные комбинации клавиш, которые можно использовать для получения доступа к функциям ОС.
* Минимизируйте права пользователя как можно больше. Ограничьте возможности редактирования файлов, изменения значений реестра и запуска произвольных программ.
* Удалите все программное обеспечение, которое не требуется для функционирования ОрВД. Если удаление невозможно, используйте средства безопасности для ограничения программного обеспечения.
* Дважды проверяйте белые списки управления приложениями: при создании списка разрешенных приложений не включайте ненужные встроенные сервисы ОС или другие приложения, которые не являются существенными для работы ATM.
* Обеспечьте эксклюзивный доступ к логическим устройствам. Работайте с поставщиком для реализации изменений API и механизмов авторизации.
* Используйте последние версии программного обеспечения и регулярно устанавливайте обновления.
* Записывайте и контролируйте события безопасности.
7) Подключение к жесткому диску.
При подключении к жесткому диску ATM можно обойти безопасность и получить контроль над банкоматом. Мы рассмотрим несколько связанных сценариев потенциальной атаки.
Прямой доступ к жесткому диску:
* В опасности: 92% проверенных банкоматов
Самый простой способ - напрямую подключиться к жесткому диску. Если жесткий диск не зашифрован, злоумышленник может скопировать вредоносную программу с помощью команд раздатчика. Затем злоумышленнику необходимо добавить эту программу в белый список Application Control, просто изменив конфигурационные файлы. Когда ATM снова перезапускается в обычном («безопасном») режиме, программное обеспечение безопасности запустится и, по-видимому, будет функционировать, но злоумышленник теперь может запускать произвольный код и вредоносное ПО. Злоумышленник может полностью отключить программное обеспечение безопасности, например, удалив файлы с диска.
Злоумышленник также может копировать конфиденциальную информацию с жесткого диска (например, конкретное приложение или даже полное изображение на диске), а затем использовать измененные версии в будущих атаках.
Загрузка с внешнего диска:
* В опасности: 27% проверенных банкоматов
Злоумышленник может запустить ATM с внешнего диска, чтобы получить доступ к файловой системе. Порядок загрузки устанавливается в BIOS, доступ к которому должен быть защищен паролем. Но на 23% банкоматов пароль BIOS был легко угадан. На 8% банкоматов вообще не было пароля. В одном случае невозможно получить пароль администратора. Однако это не остановило бы злоумышленника: для обычных привилегий пользователя не требовался пароль, и этот пользователь мог изменить порядок загрузки. В другом случае тестеры могут запустить ATM через сеть с помощью Intel Boot Agent, переопределяя порядок загрузки BIOS.
Запустив банкомат с другого диска, злоумышленник может подключить оригинальный жесткий диск и реализовать сценарии, уже описанные в случае прямого подключения к жесткому диску ATM. Следующий скриншот демонстрирует переименование драйвера McAfee Solidcore для APTRA на жестком диске ATM после запуска ОС с внешнего диска. В результате McAfee Solidcore не запускается, когда банкомат загружается с внутреннего жесткого диска.
Уязвимости, обнаруженные при тестировании
Уязвимости, обеспечивающие доступ к файловой системе жесткого диска, вызваны недостатками аутентификации для доступа к BIOS и отсутствием шифрования диска. Вредоносные программы могут взаимодействовать с банкоматом в результате плохой защиты периферийных устройств, в частности, от отсутствия аутентификации и шифрования между ОС и устройствами.
Семейство вредоносных программ Ploutus впервые появилось в 2013 году. Атаки изначально были сосредоточены в Латинской Америке, но теперь (принимая во внимание разные варианты Ploutus) охватывают весь мир. Суммарные убытки превышают 450 миллионов долларов.
Преступники используют различные методы для заражения банкоматов, в том числе путем написания вредоносного ПО непосредственно на жестких дисках. Преступники удаляют жесткий диск ATM, подключают его к своему компьютеру, устанавливают копию вредоносного ПО и кладут жесткий диск в банкомат.
Рекомендации:
* Шифрование жестких дисков ATM. Основной поставщик NCR разработал рекомендации по лучшим методам шифрования. К ним относятся передача ключей шифрования по сети, вместо их локального хранения.
* Обеспечьте строгую проверку подлинности для доступа к BIOS.
* Используйте UEFI вместо BIOS для обеспечения контроля целостности памяти загрузки.
* Разрешить запуск только с жесткого диска ATM. Запретить запуск с внешних дисков или по сети.
8) Модификация режима загрузки.
Запуск операционной системы ATM в специальном режиме может предложить способ обойти безопасность. В тестируемых банкоматах были доступны следующие режимы загрузки:
* Режим отладки ядра
* Режим восстановления службы каталогов
* Безопасные режимы (безопасный режим, безопасный режим с использованием сети, безопасный режим с командной строкой)
В этих режимах некоторые службы и меры защиты отключены, что дает возможность выйти из режима киоска. После запуска ATM в режиме отладки и подключения к COM-портам злоумышленник может захватить полный контроль над банкоматом с помощью утилиты WinDbg.
На 88% банкоматов можно было установить другой режим загрузки. В 42 процентах случаев тестеры могли развивать эту атаку дальше и в конечном итоге снимать наличные.
Рекомендации
* Отключите возможность выбора режима загрузки из загрузчика Windows.
* Отключить доступ к режиму отладки через интерфейсы COM / USB и по сети.
9) Кража данных карты.
Магнитная полоса банковских карт содержит информацию, необходимую для совершения транзакций. Хотя магнитная полоса может вмещать до трех дорожек, обычно используются только две (Track1 и Track2). Track1 содержит номер карты, дату истечения срока действия, код услуги и имя владельца. Он также может содержать индикатор ключа подтверждения PIN-кода, значение подтверждения PIN-кода и значение подтверждения карты. Track2 дублирует всю информацию на Track1, кроме имени владельца.
Оплата магнитной полосой на POS-терминале или снятие наличных в банкомате требует только чтения Track2. Таким образом, злоумышленники пытаются скопировать информацию из Track2. Эта информация может быть использована для создания дублированных дубликатов карт, которые предлагаются для продажи на темном веб-сайте. Так называемые карточные сваливания составляют четверть всей информации, продаваемой на темном полотне. Средняя стоимость одной карты составляет 9 долларов США.
В течение многих лет преступники размещали физические карты (скиммеры) на карточнике, чтобы читать информацию непосредственно с магнитной полосы. Банки поймали и теперь широко внедряют меры по пресечению скимминга. Тем не менее, данные все равно могут быть украдены даже без скиммеров. Перехват возможен на двух этапах:
* Во время передачи данных между банкоматом и обрабатывающим центром
* Во время передачи данных между операционной системой ATM и считывателем карт
Мы кратко рассмотрим некоторые из этих сценариев атаки. Они имеют много общего со сценариями, которые уже обсуждались, и используют преимущества отказа от шифрования данных и аутентификации на критических этапах процесса транзакции.
Перехват данных между банкоматом и обрабатывающим центром.
* В группе риска: 58% проверенных банкоматов
Эта атака возможна, потому что полное значение Track2 отправляется в cleartext, и шифрование не применяется к трафику между ATM и центром обработки на уровне приложения (почти во всех банкоматах используются протоколы NDC и DDC, которые не используют шифрование). Поэтому, подключившись к сети ATM и прослушивая сетевой трафик, злоумышленник может получить информацию о банковских карточках.
Перехват данных между ОС и устройством чтения карт (через USB или COM-порт)
* В опасности: 100% проверенных банкоматов
Между устройством ATM и считывателем карт расположено специальное устройство для перехвата содержимого магнитной полосы банковских карт. Эти атаки возможны, потому что связь с устройством чтения карт не аутентифицирована или не зашифрована; данные карты отправляются в открытом виде. Такие недостатки были обнаружены во всех проверенных банкоматах.
Перехват данных между ОС и устройством чтения карт (с вредоносным ПО)
* В опасности: 100% проверенных банкоматов
Вредоносная аппаратура не требуется для чтения данных с устройства чтения карт, если злоумышленник может установить вредоносное ПО в банкомате. Это может быть выполнено любым из способов, описанных в этом отчете: изменение режима загрузки или запуск с внешнего диска, подключение непосредственно к жесткому диску, подключение устройства для эмуляции ввода пользователя или сетевой атаки.
Ни один из банкоматов не выполнял аутентификацию при обмене данными с устройством чтения карт. Поэтому любое устройство может получить к нему доступ. Все злоумышленнику нужно будет выполнить произвольный код в ОС ATM.
Скиммер, вредоносное ПО ATM, известное с 2009 года, продолжает развиваться. Новая версия Скиммер, обнаруженная в 2016 году, может украсть данные с банковских карт, включая PIN-коды. Преступники устанавливали вредоносное ПО через внутреннюю сеть банка или физический доступ к банкомату. Инфицированный банкомат может накапливать данные в течение нескольких месяцев подряд, не вызывая подозрений. Затем преступники собрали свой выбор. Преступник или сообщник подошел бы к банкомату, вложил специальную карточку и введите ключ сеанса для активации вредоносного ПО. Затем Скиммер мог записать все данные на карту или распечатать их на бумаге приема. Помимо Скиммер, другие вредоносные программы для кражи информации банковской карты включают Ripper и Suceful.
В 2016 году преступники в Японии с клонированными картами с 12,7 млн. Долларов за три часа.
В августе 2018 года аналогичная атака ударила по Cosmos Bank в Индии: преступники похитили более 11 миллионов долларов с помощью клонированных карт.
Рекомендации:
* Шифруйте обмен данными с устройством чтения карт. Не отправляйте полное содержимое Track2 в текст.
* Внедрите рекомендации, приведенные в этом отчете, чтобы предотвратить выполнение произвольного кода.
* Внедрите рекомендации, приведенные в этом отчете, чтобы предотвратить сетевые атаки, направленные на трафик между банкоматом и центром обработки.
Логические атаки на банкоматы растут в популярности, а потери идут в миллионах долларов. Хотя владельцы ATM несут на себе основную тяжесть угрозы, клиенты банка также могут стать жертвами, особенно в случае атак с клонированием карт. В нашей работе по анализу безопасности мы постоянно обнаруживаем уязвимости, связанные с сетевой безопасностью, неправильной конфигурацией и плохой защитой периферийных устройств. В совокупности эти недостатки предоставляют преступникам возможность украсть наличные банкоматы или получить информацию о карте. Чаще всего механизмы безопасности - это всего лишь неприятность для злоумышленников: наши тестеры нашли способы обойти защиту практически в каждом случае. Поскольку банки, как правило, используют одну и ту же конфигурацию в большом количестве банкоматов, успешная атака на один банкомат может быть легко реплицирована в большем масштабе.
Рекомендации в этом отчете предназначены для упрощения банкоматов против логических атак. По мере роста сложности эксплуатации вероятность преступности уменьшается. Чтобы снизить риск атаки, первым шагом является физическая безопасность шкафа и окружения в банкомате. Использование большинства обнаруженных уязвимостей было бы невозможным без доступа к бортовому компьютеру и периферийным портам. Еще один важный шаг - регистрировать и отслеживать события безопасности, чтобы быстро реагировать на угрозы по мере их возникновения. Регулярный анализ безопасности банкоматов важен для своевременного обнаружения и устранения уязвимостей. Анализ безопасности также может включать обратное проектирование программного обеспечения ATM, такое как Application Control, программное обеспечение, связанное с XFS, и прошивку сетевого оборудования. Такое тестирование дает уникальные результаты благодаря выявлению уязвимостей с нулевым днем и последующим мерам по защите от новых атак.
Рекомендации в этом отчете предназначены для упрощения банкоматов против логических атак. По мере роста сложности эксплуатации вероятность преступности уменьшается. Чтобы снизить риск атаки, первым шагом является физическая безопасность шкафа и окружения в банкомате. Использование большинства обнаруженных уязвимостей было бы невозможным без доступа к бортовому компьютеру и периферийным портам. Еще один важный шаг - регистрировать и отслеживать события безопасности, чтобы быстро реагировать на угрозы по мере их возникновения. Регулярный анализ безопасности банкоматов важен для своевременного обнаружения и устранения уязвимостей. Анализ безопасности также может включать обратное проектирование программного обеспечения ATM, такое как Application Control, программное обеспечение, связанное с XFS, и прошивку сетевого оборудования. Такое тестирование дает уникальные результаты благодаря выявлению уязвимостей с нулевым днем и последующим мерам по защите от новых атак.