ATM Defense I

Según los expertos de Karspersky GReAT de latino america en la conferencia de "Security Analyst Summint"

Ingles:

Español:

Las recomendaciones de Roberto Martinez experto de GReAT, son las siguientes:

1.- Actualizar los sistemas operativos a la ultima versión
2.- Instalar soluciones de seguridad que sea capaz de monitorizar "Everything/Todo"
2.1.- Especial foco en que algún externo pueda instalar algún dispositivo en la parte interna del cajero.

De acuerdo a nuestra experiencia extendemos la lista de recomendaciones

a) Monitorizar los logs de Virtual Journal y Event Viewer

Mediante la extracción de ambos logs podemos identificar patrones de uso y errores que delimitarían posibles responsabilidades o inclusive de donde se origino el ataque inicialmente

b) Monitorizar certificados digitales (cambios en el Windwos Certificate Manager)

Los certificados de Windows para evitar la inserción de llaves o actualizaciones de certificados que les permita a los usuarios instalar y ejecutar software firmado

c) Monitorizar cambio o remplazo de DLLs

Para la mayoría de malware mas actuales la utilización de DLLs propias para la interacción de bajo nivel con la capa de XFS o inclusive directamente enviarle instrucciones al perimetral , existen varias técnicas que mas adelante explicaremos pero básicamente este tipo de protecciones te permiten

d) Monitorización de inserción de perimetrales:

Tener controles para la inserción de dispositivos USB, Fireware, etc...

e) Monitorización de cable de red:

Este tipo de practica poco conocida sobre todo para bancos que no tienen las comunicaciones cifradas puede permitirles detectar la inserción de BlackBox que pueden desde recopilar datos de tarjetas de crédito asta enviarle instrucciones al cajero automático haciéndose pasar por el Servidor de transacciones.

f) Monitorización de procesos:

Muchos malware van a requerir de un espacio en la pila para ejecutar un proceso llámese como se llame para poder persistir dentro del sistema operativo windows y ejecutar sus instrucciones

g) Monitorización de Pila/Stack:

Para los ataques mas desconocidos o tambien llamados 0day tener una monitorización de control y sandbox de procesos de ejecución y memoria o técnicas conocidas como las siguientes:
- Protecciones de Structured Exception Handler Overwrite Protection (SEHOP)
- Implementación de protecciones en software compilado Data Execution Prevention (DEP)
- Implementación de protecciones Heapspray Allocations
- Implementación de protecciones Mandatory Address Space Layout Randomization (ASLR)
- Export Address Table Access Filtering (EAF) - Windows API protection (kernel32.dll, ntdll.dll or kernelbase.dll, etc..)
- Export Address Table Access Filtering Plus (EAF+)
- Verificación de carga de librerias dinamicas

Pueden ayudar a que cuando un malware intente utilizar espacios de memoria reservados o técnicas de "DLL injection" para poder operar los perimetrales del hardware del ATM o simplemente la utilización del las APIs de Aptra(NCR), Empower(diebold) o J/XFS(Wincor) , estas protecciones pueden ayudar a ejecutar una técnica conocida como "sanboxing" para dichos procesos que interactuen con la utilización de las lógicas de funcionamiento normal del ATM

h) skimming y vibración:

Generalmente algunos productos anti-skimmer tiene conexiones seriales mediante la cual se pueden extraer datos para identificar por ejemplo intentos de inserccion de productos de skimming o si tienen sensores de vibración las locaciones mas utilizadas suele ser en la parte derecha del cajero cercano a la lectora de tarjetas de banda y EMV para poder implementar skimmers en hardware sobre la lectora.

i) cifrado de comunicaciones:

Si así es, todavía existen bancos que no cifran las comunicaciones entre el cajero y su red , lo cual permite ataques de tipo MITM(hombre en el medio), una de las recomendaciones es utilizar cifrado de comunicaciones.

j) Monitorización de transacciones:

Para Los malware tipo Carbarank que operan desde dentro de la institución bancaria sin necesidad ed comprometer el ATM, sin duda una de las soluciones que deben implementar junto con el hardware vendor y expertos en el area son macheo de transacciones para evitar que el core banking efectué llamadas al ATM de habilitar transacciones sin ni siquiera haber recibido la petición inicial por parte del ATM

k) Endurecimiento de las políticas del sistema operativo:

Muchas veces es difícil controlar todo el sistema operativo así inclusive utilizando soluciones que prometen listas blancas o anti-malware, nuestra recomendación y practicas es la aplicación de políticas de dominio o "Group Policy Objects", para hacer mas difícil el aprovechamiento de funciones especiales de windows para interactuar con el cajero para los casos de que alguien interno a las empresas de prestación de servicios a la red del banco pueda implementar software con facilidad o modificaciones del software.

Estas son alguna de nuestras recomendaciones iniciales para poder tener una correcta política de seguridad básica.

Sin duda una lista algo difícil de controlar para bancos que no tienen políticas de seguridad bien implementadas o redes extremadamente grandes, pero con Cyttek ATM Security le podemos ayudar a resolver todo esto de una sola vez.

ATM Defense I

Rafael Revert

Rafael Revert

GEN3XFS Multi-vendor solution by cyttek part I

Vectores de ataques multivendor en cajeros automáticos (ATM) - Cyttek Group

One Token to manage them all (ATMs)

Comprar Malware para ATMs?

Análisis de Journal (XFS)

Subscribe to Cyttek Group

Subscribe to Cyttek Group