И снова рад теплыми словами приветствовать всех мемберов!
Нашел наконец время для продолжения цикла статей про АТМ.
Ранее мы рассмотрели возможные варианты получения доступа в сервисную зону банкомата, сегодня-же остановимся на вопросе-"ну вот получили мы доступ, что с этим можно сделать?"
Есть несколько основных векторов атаки на АТМ изнутри (имея доступ к системе или к сервисной зоне), постараюсь вкратце описать каждый из них
Итак, начнем пожалуй...
BlackBox/Robbery - атака которой подвержены все банкоматы NCR/Wincor использующие шины SDC/USB и RS232 интерфейс
Суть атаки-прямое подключение диспенсера АТМ к нашему устройству (микрокомпьютер / телефон / ноутбук), с целью передачи команд на выдачу денежных средств, минуя системный блок банкомата, процессинговый центр банка, и прочие неинтересные и скучные инстанции (соответственно, ни журнальный принтер АТМ, ни мониторинговое ПО банка, не будут понимать, что диспенсер опустошен-как минимум до тех пор, пока не осмотрят банкомат лично)
Документация с описанием интерфейсов банкоматов, равно как и краткий обзор этих самых интерфейсов, был рассмотрен в одной из моих прошлых статей, так что не будем останавливаться на вопросе "а какие команды надо передать диспенсеру?", и пойдем далее.
С учетом того, что опустошение диспенсера по своей сути является единовременной акцией для каждого АТМ (возвращаться к ранее опустошенному АТМ с целью повторения своего подвига-мягко говоря сомнительное мероприятие), при использовании данного вектора атаки не столь важно, будет-ли поврежден корпус АТМ при работе, поэтому чаще всего этот метод напрямую связан со сверлением / плавлением / отгибанием / и прочими манипуляциями с крышкой сервисной зоны или ее лицевой частью (хоть бывают и исключения)
В качестве оборудования для работы чаще всего используется ноутбук или телефон, значительно реже-одноплатные компьютеры типа Raspberry Pi
Как правило, оборудование, подключаемое к диспенсеру, забирается после работы-оставлять вещдоки на месте преступления-плохой тон))
Man in the middle (MITM) - вид атаки, при которой перехватываются и подменяются сообщения, которыми обмениваются периферийное устройство (диспенсер / кардридер / пинпад / и т.п.) и системный блок банкомата.
Опасность такой атаки заключается в том, что ни само устройство, ни системный блок банкомата не догадываются о присутствии MITM в канале.
С помощью данной атаки можно аккуратно "доить" банкомат очень продолжительное время.
По сути, можно превратить АТМ в аппаратный скимер, который невозможно обнаружить и обезвредить без доступа в сервисную зону и внимательного ее изучения.
При этом, перехватить мы можем практически все-от данных магнитки до вводимого ПИН-кода и информации с чипа карты, и при этом реализовать дистанционную выгрузку всего этого добра нам посредством Wi-Fi или GSM/3G/4G-канала
В качестве этого MITM-устройства можно успешно использовать миниатюрный контроллер Raspberry Pi.
Устройство легко прячется внутри корпуса и не привлекает внимания технического персонала, который, к примеру, меняет бумагу во встроенных принтерах и потому имеет ключи от сервисной зоны.
Учитывая все вышеописанное, напрашивается закономерный вывод: в случае использования данного вектора атаки, главный приоритет-неприметность, чтобы оборудование исполняла свои функции как можно дольше.
Таким образом, единственный способ эксплуатации данного метода-доступ к сервисной зоне с помощью ключей, чтобы визуально банкомат никак не выдал факта своего несанкционированного вскрытия
Оборудование в таком случае чаще всего так и остается внутри АТМ, вплоть до самого момента своего обнаружения (практического смысла доставать его обратно после установки особо нет-профит приносится стабильно и в пассивном режиме)
ATM Malware/Touchless Jackpotting - вирусная атака на банковскую сеть, с помощью которой вредоносное ПО распространяется через централизованную сеть обновления ПО банкоматов или устанавливается непосредственно на банкомат
Помимо прямого подключения каких-либо устройств к железу АТМ, не стоит забывать также об уязвимостях самой ОСи банкомата, а с учетом того, что подовляющее большинство современных банкоматов все-еще использует Windows XP, проблем с получение контроля над системой нет практически никаких (уязвимость MS08-067 и ей подобные в помощь)
Получив контроль над ОС, мы можем модифицировать установленный в АТМ софт под свои нужды (установить сниффер или malware для работы с диспенсером-например, ATMitch)
Немного видео по теме - как всегда, для наглядной демонстрации обсуждаемого вопроса
https://youtu.be/3HYA0MvizpM
https://youtu.be/XokG7HNVt20
Если какой-то из перечисленных векторов атаки вызвал особый интерес-я открыт для предложений тем следующих публикаций.
Отписывайтесь в топике, и я посвящу этому отдельную статью
Всем добра и ясного неба над головой!
(C) Polar
Нашел наконец время для продолжения цикла статей про АТМ.
Ранее мы рассмотрели возможные варианты получения доступа в сервисную зону банкомата, сегодня-же остановимся на вопросе-"ну вот получили мы доступ, что с этим можно сделать?"
Есть несколько основных векторов атаки на АТМ изнутри (имея доступ к системе или к сервисной зоне), постараюсь вкратце описать каждый из них
Итак, начнем пожалуй...
BlackBox/Robbery - атака которой подвержены все банкоматы NCR/Wincor использующие шины SDC/USB и RS232 интерфейс
Суть атаки-прямое подключение диспенсера АТМ к нашему устройству (микрокомпьютер / телефон / ноутбук), с целью передачи команд на выдачу денежных средств, минуя системный блок банкомата, процессинговый центр банка, и прочие неинтересные и скучные инстанции (соответственно, ни журнальный принтер АТМ, ни мониторинговое ПО банка, не будут понимать, что диспенсер опустошен-как минимум до тех пор, пока не осмотрят банкомат лично)
Документация с описанием интерфейсов банкоматов, равно как и краткий обзор этих самых интерфейсов, был рассмотрен в одной из моих прошлых статей, так что не будем останавливаться на вопросе "а какие команды надо передать диспенсеру?", и пойдем далее.
С учетом того, что опустошение диспенсера по своей сути является единовременной акцией для каждого АТМ (возвращаться к ранее опустошенному АТМ с целью повторения своего подвига-мягко говоря сомнительное мероприятие), при использовании данного вектора атаки не столь важно, будет-ли поврежден корпус АТМ при работе, поэтому чаще всего этот метод напрямую связан со сверлением / плавлением / отгибанием / и прочими манипуляциями с крышкой сервисной зоны или ее лицевой частью (хоть бывают и исключения)
В качестве оборудования для работы чаще всего используется ноутбук или телефон, значительно реже-одноплатные компьютеры типа Raspberry Pi
Как правило, оборудование, подключаемое к диспенсеру, забирается после работы-оставлять вещдоки на месте преступления-плохой тон))
Man in the middle (MITM) - вид атаки, при которой перехватываются и подменяются сообщения, которыми обмениваются периферийное устройство (диспенсер / кардридер / пинпад / и т.п.) и системный блок банкомата.
Опасность такой атаки заключается в том, что ни само устройство, ни системный блок банкомата не догадываются о присутствии MITM в канале.
С помощью данной атаки можно аккуратно "доить" банкомат очень продолжительное время.
По сути, можно превратить АТМ в аппаратный скимер, который невозможно обнаружить и обезвредить без доступа в сервисную зону и внимательного ее изучения.
При этом, перехватить мы можем практически все-от данных магнитки до вводимого ПИН-кода и информации с чипа карты, и при этом реализовать дистанционную выгрузку всего этого добра нам посредством Wi-Fi или GSM/3G/4G-канала
В качестве этого MITM-устройства можно успешно использовать миниатюрный контроллер Raspberry Pi.
Устройство легко прячется внутри корпуса и не привлекает внимания технического персонала, который, к примеру, меняет бумагу во встроенных принтерах и потому имеет ключи от сервисной зоны.
Учитывая все вышеописанное, напрашивается закономерный вывод: в случае использования данного вектора атаки, главный приоритет-неприметность, чтобы оборудование исполняла свои функции как можно дольше.
Таким образом, единственный способ эксплуатации данного метода-доступ к сервисной зоне с помощью ключей, чтобы визуально банкомат никак не выдал факта своего несанкционированного вскрытия
Оборудование в таком случае чаще всего так и остается внутри АТМ, вплоть до самого момента своего обнаружения (практического смысла доставать его обратно после установки особо нет-профит приносится стабильно и в пассивном режиме)
ATM Malware/Touchless Jackpotting - вирусная атака на банковскую сеть, с помощью которой вредоносное ПО распространяется через централизованную сеть обновления ПО банкоматов или устанавливается непосредственно на банкомат
Помимо прямого подключения каких-либо устройств к железу АТМ, не стоит забывать также об уязвимостях самой ОСи банкомата, а с учетом того, что подовляющее большинство современных банкоматов все-еще использует Windows XP, проблем с получение контроля над системой нет практически никаких (уязвимость MS08-067 и ей подобные в помощь)
Получив контроль над ОС, мы можем модифицировать установленный в АТМ софт под свои нужды (установить сниффер или malware для работы с диспенсером-например, ATMitch)
Немного видео по теме - как всегда, для наглядной демонстрации обсуждаемого вопроса
https://youtu.be/3HYA0MvizpM
https://youtu.be/XokG7HNVt20
Если какой-то из перечисленных векторов атаки вызвал особый интерес-я открыт для предложений тем следующих публикаций.
Отписывайтесь в топике, и я посвящу этому отдельную статью
Всем добра и ясного неба над головой!
(C) Polar
