Después de haber
visto casos como plotus, greendispenser, plotus.d entre otros ataques tanto de
malware como de red a ATM. Desde el mes pasado se han detectado varios ataques
con una nueva forma de operación para infectar y poder obligar a los cajeros
automáticos (ATMs) a dispensar dinero.
Por el momento los ATMs afectados contenían las
siguientes características:
- Marca: Diebold Nixdorf
- Software_XFS: Agilis
- Software
de Seguridad:
GMV Checker
- Sistema
Operativo:
Windows 7
Cabe destacar que la
DLL 'Display Settings' se ha encontrado con múltiples variantes de 'hashes'
pero todas ellas han sido desarrolladas para utilizar funciones de XFS3.x SDK.
1.- En primera
instancia el atacante o grupos de atacantes requieren autentificarse con un
token RSA de Diebold sobre el usuario de producción y entrar firmados, aunque
este acceso no signifique que tienen permisos administrador (dependerá de las
configuraciones de seguridad de los bancos).
2.- Luego requieren
identificar un teclado o periférico valido dentro de la ACL de protección del
software. Este tipo de ataques se puede efectuar mediante un dispositivo de
emulación de USB como facedancer21, arduino o un diseño de hardware propio.
En los logs se puede observar
como se conectan en un 1 segundo más de 120 periféricos:
El malware que utiliza
el hardware ID de Diebold VID03F4 PID1003 y la casualidad es que:
El hub de USB de Diebold
se encuentra en la ACL como un 'driver' genérico. Después de haber repasado con
el 'phukd' todos los usb disponibles para probar los que puedan aceptar un
comando Cntr+Alt+Del.
3.- Una vez a dentro
el usuario de producción y con un teclado dentro de la ACL, el siguiente paso
es utilizar 'Powershell' (que no está protegido con 'checker'), para ejecutar
una escalada de privilegios local con el archivo exp.ps1.
Teniendo en cuenta
que el archivo 'exp.ps1', se puede encontrar público y esta vulnerabilidad está
disponible entre otros en la suite Metasploit, la investigación arrojó que el
atacante adquiere 'NT Authority/System'.
El exploit lo podemos
encontrar en exploit-db, pentestlab y en github, entre otros, en este último
fue donde encontramos el código exacto usado por los atacantes. Este exploit es
usado debido a que muchas políticas de seguridad para ATMs no contemplan shells
secundarias como powershell, powershell_ISE y otras funciones que permiten
ejecutar código fuera de los típicos EXE, VBS.
CONCLUSIÓN:
Este nuevo malware
presenta soporte para múltiples EPPs y múltiples dispensadores. De momento solo
afectaría a Diebold con Agilis.
Por lo tanto tenemos
un malware nuevo, derivado de casos como 'plotus' pero en este caso solo con DLLs requeridas
para confirmar y configurar correctamente el proceso de conexión.
Display Settings.dll
:
--
INTEROP.CASHDISPENSER3LIB.DLL dll segundaria
--
INTEROP.PINPAD3LIB.DLL dll secundaria
Por otro lado, en la
sección del UI del malware, al
ejecutarse, se solapará sobre el archivo 'OUTPUT.html' del modo supervisor del
EMPOWER Screen Themes para mostrar algo así en la sección inferior izquierda:
En este caso el
ataque como se mostró,requiere de varios pasos para poder ejecutarse desde el
malware hasta el dispositivo de emulación de USB y un alto conocimiento del
sistema operativo Windows y de Diebold Agilis XFS
RECOMENDACIONES:
ES PRIMORDIAL TENER
UN CORRECTO CONTROL TANTO DEL TOKEN COMO EL CONTROL DE ACCESO DE USUARIOS DE
WINDOWS. HAY QUE TENER TRAZABILIDAD SOBRE LOS TÉCNICOS DE SOPORTE O
MANTENIMIENTO QUE MANIPULAN NUESTROS ATMS.
Por otro lado es
primordial tener una correcta política de actualizaciones de seguridad de la
plataforma sobre la que corre nuestro ATM, en este caso Microsoft Windows.
Por el momento las
soluciones mas recomendadas son las que permitan poder tomar acciones
inmediatas remotamente sin depender de protecciones de sistema operativo, como
mandar a apagar el ATM y apagar el dispensador.
Más información
·
Blog
Una al dia https://unaaldia.hispasec.com/search?updated-max=2018-07-07T09:30:00%2B02:00&max-results=2
Fuente: Hispasec
