ProHoster > Blog > Administrasyon an > Carding ak "bwat nwa": ki jan ATM yo rache jodi a

Carding ak "bwat nwa": ki jan ATM yo rache jodi a

Bwat fè ak lajan kanpe nan lari yo nan vil la pa ka ede men atire atansyon moun ki renmen lajan rapid. Men, si anvan yo te itilize metòd piman fizik pou vide ATM, kounye a yo te itilize plis ak plis trik ki gen rapò ak òdinatè. Koulye a, ki pi enpòtan nan yo se yon "bwat nwa" ak yon sèl-tablo mikwo òdinatè andedan. Nou pral pale sou fason li fonksyone nan atik sa a.

– Evolisyon nan kat ATM
- Premye konesans ak "bwat nwa a"
– Analiz de kominikasyon ATM
– Ki kote "bwat nwa" soti?
- "Dènye Mile" ak fo sant pwosesis

Carding ak "bwat nwa": ki jan ATM yo rache jodi a

Chèf Asosyasyon Konpayi fabrikasyon ATM entènasyonal yo (ATMIA) seleksyone "bwat nwa" kòm menas ki pi danjere pou ATM yo.

Yon ATM tipik se yon seri eleman elektwomekanik pare yo ki loje nan yon sèl lojman. Manifaktirè ATM bati kreyasyon pyès ki nan konpitè yo nan distribitè bòdwo a, lektè kat ak lòt konpozan deja devlope pa founisè twazyèm pati yo. Yon sòt de konstrukteur LEGO pou granmoun. Konpozan yo fini yo mete nan kò a ATM, ki anjeneral konsiste de de konpatiman: yon lòj anwo ("kabinè" oswa "zòn sèvis"), ak yon lòj pi ba (san danje). Tout eleman elektwomekanik yo konekte atravè pò USB ak COM nan inite sistèm lan, ki nan ka sa a aji kòm yon lame. Sou ansyen modèl ATM ou ka jwenn koneksyon tou atravè otobis SDC a.

Evolisyon nan kat ATM

ATM ki gen gwo kantite lajan andedan envaryabmam atire carders. Okòmansman, carders te eksplwate sèlman gwo defisyans fizik pwoteksyon ATM yo - yo te itilize skimmers ak shimmers pou vòlè done ki soti nan bann mayetik; fo kousinen PIN ak kamera pou gade kòd PIN; e menm fo ATM.

Lè sa a, lè ATM yo te kòmanse ekipe ak lojisyèl inifye fonksyone dapre estanda komen, tankou XFS (eXtensions for Financial Services), carders yo te kòmanse atake ATM ak viris òdinatè.

Pami yo se Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii ak lòt malveyan anpil non ak non, ki carders plante sou lame a ATM swa atravè yon kondwi flash USB demaraj oswa atravè yon pò kontwòl remote TCP.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Pwosesis enfeksyon ATM

Lè w te kaptire subsistèm XFS la, malveyan an ka bay kòmandman nan dispenser biye a san otorizasyon. Oswa bay kòmandman pou lektè kat la: li / ekri bann mayetik yon kat labank e menm rekipere istwa tranzaksyon an ki estoke sou chip kat EMV la. EPP (Ancrypting PIN Pad) merite atansyon espesyal. Anjeneral yo aksepte kòd PIN ki antre sou li a pa ka entèsepte. Sepandan, XFS pèmèt ou itilize pinpad EPP a nan de mòd: 1) mòd louvri (pou antre nan divès paramèt nimerik, tankou kantite lajan yo dwe kase); 2) mòd san danje (EPP chanje nan li lè ou bezwen antre yon kòd PIN oswa kle chifreman). Karakteristik sa a nan XFS pèmèt carder a pote soti nan yon atak MiTM: entèsepte kòmandman an deklanchman mòd san danje ki voye soti nan lame a nan EPP a, ak Lè sa a, enfòme pinpad EPP a ke li ta dwe kontinye travay nan mòd louvri. An repons a mesaj sa a, EPP voye frap nan kle nan tèks klè.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Prensip fonksyònman yon "bwat nwa"

Nan dènye ane yo, Dapre Europol, malveyan ATM te evolye anpil. Carders yo pa bezwen gen aksè fizik nan yon ATM ankò pou enfekte li. Yo ka enfekte ATM atravè atak rezo aleka lè l sèvi avèk rezo antrepriz bank la. Dapre Gwoup IB, nan 2016 nan plis pase 10 peyi Ewopeyen yo, ATM yo te sijè a atak aleka.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Atak sou yon ATM atravè aksè aleka

Antiviris, bloke mizajou firmwèr, bloke pò USB ak chifreman kondwi a difisil - nan yon sèten mezi pwoteje ATM a kont atak viris pa carders. Men, e si carder a pa atake lame a, men konekte dirèkteman nan periferik la (via RS232 oswa USB) - nan yon lektè kat, pad PIN oswa dispansè lajan kach?

Premye konesans ak "bwat nwa a"

Carders ki gen konesans teknoloji jodi a se egzakteman sa yo fè, lè l sèvi avèk sa yo rele nan vòlè lajan kach nan yon ATM. "Bwat nwa" yo espesyalman pwograme mikwo-kopitè yon sèl tablo, tankou Franbwaz Pi a. "Bwat nwa" vid ATM konplètman, nan yon fason konplètman majik (soti nan pwen de vi bankye yo '). Carders konekte aparèy majik yo dirèkteman nan distribitè bòdwo a; retire tout lajan ki disponib nan li. Atak sa a kontourne tout lojisyèl sekirite ki deplwaye sou lame ATM (antivirus, siveyans entegrite, chifreman ki gen kapasite konplè, elatriye).

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
"Bwat nwa" ki baze sou Franbwaz Pi

Pi gwo manifaktirè ATM yo ak ajans entèlijans gouvènman an, fè fas ak plizyè aplikasyon "bwat nwa a", avètike òdinatè entelijan sa yo pouse ATM krache tout lajan ki disponib; 40 biye chak 20 segonn. Sèvis sekirite yo avèti tou ke carders pi souvan vize ATM nan famasi ak sant komèsyal yo; epi tou nan ATM ki sèvi otomobilis sou wout la.

An menm tan an, yo nan lòd yo pa parèt devan kamera yo, carders yo ki pi pridan pran èd nan kèk patnè ki pa gen anpil valè, yon milèt. Epi pou li pa ka apwopriye "bwat nwa a" pou tèt li, yo itilize dyagram sa a. Yo retire fonksyonalite kle nan "bwat nwa a" epi konekte yon smartphone sou li, ki itilize kòm yon kanal pou transmèt kòmandman adistans nan "bwat nwa" dezabiye a atravè pwotokòl IP la.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Modifikasyon nan "bwat nwa a", ak aktivasyon atravè aksè aleka

Ki jan sa sanble nan pwen de vi bankye yo? Nan anrejistreman ki soti nan kamera videyo, yon bagay tankou sa a rive: yon sèten moun louvri lòj anwo a (zòn sèvis), konekte yon "bwat majik" nan ATM a, fèmen lòj anwo a ak fèy. Yon ti kras pita, plizyè moun, w pèdi kliyan òdinè, apwoche ATM a epi retire gwo kantite lajan. Lè sa a, carder a retounen epi li rekipere ti aparèy majik li nan ATM la. Tipikman, reyalite a nan yon atak ATM pa yon "bwat nwa" dekouvri sèlman apre kèk jou: lè san danje a vid ak jounal la retrè lajan kach pa matche. Kòm yon rezilta, anplwaye bank yo kapab sèlman grate tèt ou.

Analiz de kominikasyon ATM

Kòm te note pi wo a, entèraksyon ant inite sistèm lan ak aparèy periferik yo te pote soti atravè USB, RS232 oswa SDC. Carder la konekte dirèkteman nan pò aparèy periferik la epi li voye kòmandman ba li - kontoune lame a. Sa a se byen senp, paske entèfas estanda pa mande pou nenpòt chofè espesifik. Ak pwotokòl propriétaires kote periferik la ak lame a kominike pa bezwen otorizasyon (apre tout, aparèy la sitiye andedan yon zòn ou fè konfyans); e se poutèt sa pwotokòl ensekirite sa yo, atravè ki periferik la ak lame a kominike, yo fasil ekoute epi fasil fasil pou atak replay.

Sa. Carders ka sèvi ak yon lojisyèl oswa kenkayri analizè trafik, konekte li dirèkteman nan pò a nan yon aparèy periferik espesifik (pa egzanp, yon lektè kat) pou kolekte done transmèt. Lè l sèvi avèk yon analizè trafik, carder la aprann tout detay teknik operasyon ATM a, ki gen ladan fonksyon san papye periferik li yo (pa egzanp, fonksyon pou chanje firmwèr yon aparèy periferik). Kòm yon rezilta, carder la genyen kontwòl konplè sou ATM la. An menm tan an, li se byen difisil yo detekte prezans nan yon analizè trafik.

Kontwòl dirèk sou dispenser biye a vle di ke kasèt ATM yo ka vide san okenn anrejistreman nan mòso bwa yo, ki nòmalman antre nan lojisyèl an deplwaye sou lame a. Pou moun ki pa abitye ak pyès ki nan konpitè ATM ak achitekti lojisyèl, li vrèman ka sanble majik.

Ki kote bwat nwa yo soti?

Founisè ATM ak soutretan yo ap devlope sèvis piblik debogaj pou fè dyagnostik pyès ki nan konpitè ATM, ki gen ladan mekanik elektrik ki responsab pou retire lajan kach. Pami sèvis piblik sa yo: ATMDesk, RapidFire ATM XFS. Figi ki anba a montre plizyè lòt sèvis piblik sa yo.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
ATMDesk Kontwòl Panel

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
RapidFire ATM XFS Kontwòl Panel

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Karakteristik konparatif plizyè sèvis piblik dyagnostik

Aksè a sèvis piblik sa yo nòmalman limite a siy pèsonalize; epi yo travay sèlman lè pòt sekirite ATM la louvri. Sepandan, tou senpleman pa ranplase yon bytes kèk nan kòd la binè nan sèvis piblik la, carders kapab "tès" retrè lajan kach - kontoune chèk yo bay pa manifakti sèvis piblik la. Carders enstale sèvis piblik modifye sa yo sou laptop yo oswa mikwo-kopitè yon sèl tablo, ki konekte dirèkteman nan dispenser biye a pou fè retire lajan kach san otorizasyon.

"Dènye mil" ak fo sant pwosesis

Entèraksyon dirèk ak periferik la, san yo pa kominikasyon ak lame a, se sèlman youn nan teknik kad efikas yo. Lòt teknik konte sou lefèt ke nou gen yon gran varyete interfaces rezo atravè ki ATM la kominike ak mond lan deyò. Soti nan X.25 nan Ethernet ak selilè. Anpil ATM ka idantifye ak lokalize lè l sèvi avèk sèvis Shodan (enstriksyon ki pi kout pou itilize li yo prezante isit la), – ak yon atak ki vin apre ki eksplwate yon konfigirasyon sekirite vilnerab, parès nan administratè a ak kominikasyon vilnerab ant divès depatman nan bank la.

"Dènye mil" kominikasyon ant ATM ak sant pwosesis la rich nan yon gran varyete teknoloji ki ka sèvi kòm yon pwen antre pou carder la. Entèraksyon ka fèt atravè metòd kominikasyon filaire (liy telefòn oswa Ethernet) oswa san fil (Wi-Fi, selilè: CDMA, GSM, UMTS, LTE). Mekanis sekirite yo ka enkli: 1) pyès ki nan konpitè oswa lojisyèl pou sipòte VPN (tou de estanda, ki entegre nan OS la, ak soti nan twazyèm pati); 2) SSL/TLS (tou de espesifik pou yon modèl ATM patikilye ak soti nan manifaktirè twazyèm pati); 3) chifreman; 4) mesaj otantifikasyon.

Men, sanble akke pou bank teknoloji ki nan lis yo sanble trè konplèks, ak Se poutèt sa yo pa deranje tèt yo ak pwoteksyon rezo espesyal; oswa yo aplike li ak erè. Nan pi bon ka a, ATM a kominike ak sèvè VPN a, e deja andedan rezo prive a li konekte ak sant pwosesis la. Anplis de sa, menm si bank yo jere aplike mekanis pwoteksyon ki nan lis pi wo a, kad la deja gen atak efikas kont yo. Sa. Menm si sekirite konfòm ak estanda PCI DSS la, ATM yo toujou vilnerab.

Youn nan kondisyon prensipal yo nan PCI DSS se ke tout done sansib yo dwe chiffres lè yo transmèt sou yon rezo piblik. Apre sa, nou aktyèlman gen rezo ki te orijinèlman fèt nan yon fason ke done ki nan yo se konplètman chiffres! Se poutèt sa, li se tante yo di: "Done nou an chiffres paske nou itilize Wi-Fi ak GSM." Sepandan, anpil nan rezo sa yo pa bay ase sekirite. Rezo selilè tout jenerasyon yo te pirate depi lontan. Finalman ak irevokabl. E gen menm founisè ki ofri aparèy pou entèsepte done ki transmèt sou yo.

Se poutèt sa, swa nan yon kominikasyon ansekirite oswa nan yon rezo "prive", kote chak ATM emisyon tèt li nan lòt ATM, yon atak MiTM "fo sant pwosesis" ka inisye - ki pral mennen nan kad la sezi kontwòl nan koule yo done transmèt ant. ATM ak sant pwosesis.

Atak MiTM sa yo Dè milye de ATM yo potansyèlman afekte. Sou wout la nan sant la pwosesis otantik, cardr la foure pwòp li yo, yon sèl fo. Sant tretman fo sa a bay ATM kòmandman pou dispanse biye. Nan ka sa a, kad la konfigirasyon sant pwosesis li a nan yon fason ke lajan kach yo bay kèlkeswa ki kat yo mete nan ATM la - menm si li te ekspire oswa gen yon balans zewo. Bagay pwensipal lan se ke sant pwosesis fo a "rekonèt" li. Yon sant pwosesis fo ka swa yon pwodwi endijèn oswa yon similatè sant pwosesis, orijinal ki fèt pou debogaj anviwònman rezo (yon lòt kado soti nan "manifakti a" nan carders).

Nan foto sa a bay pil fatra nan kòmandman pou bay 40 biye soti nan kasèt katriyèm lan - voye soti nan yon sant pwosesis fo ak ki estoke nan mòso bwa lojisyèl ATM. Yo sanble prèske reyèl.

Carding ak "bwat nwa": ki jan ATM yo rache jodi a
Kòmand pil fatra nan yon sant pwosesis fo

Sous: www.habr.com

Add nouvo kòmantè