Other day other malware in the way (died.exe)

Most of cyber security blogs will talk about the discovery of the malware  in english to reach more people in the explanation and make a fancy claims that they have the solution to protect everything , pero no nosotros no parte de esta misión de este blog es centralizar conocimiento de varios tópicos de seguridad pero centrados en canales alternos y en especial ATM que hemos seguido este tópico, en este caso vamos a hablar de un nuevo software descubierto en latino américa Died.exe o dd por los strings encontrados.

Primero que todo o existe un faltante al momento de la cuenta de efectivo por la transportadora de valores o hay un software nuevo que no debería estar en el ATM.

Died puede ser ejecutado desde cualquier carpeta del sistema operativo

Generalmente lo primero es que el Software tiene referencias a funciones (service provider) SPI y importaciones de DLLs propias del CEN XFS, para poder ver si ya de primero tenemos suficiente motivo para que no esté en el ATM

Luego de segundo es encontrar posibles rutinas o subrutinas que puedan interaccionar con algún perimetral siguiendo la lógica del WFS primero debe inicializar , luego abrir la comunicación

Luego en otra subrutina vemos que tiene que ejecutar la instrucción de abertura del canal SPI

si toda el proceso de abertura no está ocupado por otro servicio esto quiere decir que entonces el usuario que lo ejecuta de acuerdo a la necesidad del CEN XFS no puede estar corriendo otro hserv para este servicio SPI por lo tanto el ATM debe estar sin otro servicio XFS para poder ejecutar el software

si el hserv se vuelve único y avanza el proceso del WFS open por la subrutina 46D8B4

revisa que en la subrutina se encuentre el Dispensador habilitado

en caso de que no se encuentra habilitado la propia funcione msxfs  WFS_CDM_DEVONLINE le entregará el status para poder procesar con la petición de operación con el dispensador

luego entra a la función

y luego como exige el SDK del CEN llama a la función de WFS_CMD_CDM_Dispense

una peculiaridad de este software es que las funciones estan en ingles  y las instrucciones de input de las subrutinas están en español y acepta múltiples denominaciones ISO  estas denominaciones después de recorrer la subrutina se las trae de los estados WFS y  junto con la cantidad de billetes del input esperado recorre los REGEDIT para poder traer el name del dispensador en la subrutina  de posibles dispensadores

Cualquier software que esté en el ATM que tenga funciones WFS y no tenga un firmado de la marca de ATM por lo tanto ya hay que sospechar cosas raras

Aquí el "softwarecito" corriendo del cual tiene una afectación principal para Diebold Agilis

y así es como lo ves en VT, ninguno de los típicos como symantec o mcafee lo identifica

Puntos importantes:

1.-Cualquier software que esté en el ATM que tenga funciones WFS y no tenga un firmado de la marca de ATM por lo tanto ya hay que sospechar cosas raras

2.- Algunos strings en español por lo tanto de fabricación latino americana

3.- Utilización del CEN XFS estándar requiere de la importación de la librería MSXFS.dll por lo tanto es un software para operar ATMS

4.- Soporta multi divisa pero requiere de input por lo tanto el atacante debe tener un teclado cerca habilitado por la ACL y seleccionar o ejecutar un Software que mediante un string input al proceso de consola del software pueda insertar los 2 input que requiere

5.- Tiene una función muy parecida al peralta donde rebusca los dispensadores soportados por el XFS y trae el utilizado actualmente para poder pasarle por el canal del SPI las instrucciones

6.- Al parecer esto tiene pinta de ser una fase de pruebas, puesto que no se encontro ningun packer ni cifrado y requiere de inputs que muy probablemente en ataques masivos se puedan automatizar y vender licencias por cantidad de billetes como ya se ha visto en malware pasados

7.- con esto van 123 aproximadamente de malware y subfamilias reconocidas para atacar a ATMs

Aclaraciones:

Básicamente para los comentaristas de internet que salen todos expertos de la noche a la mañana, sin saber lo básico :

  • Donde se encontró?
  • A qué modelo afecto?
  • Que XFS tenía ese modelo?
  • Se presentó un faltante o fue una alerta de un software de seguridad?
  • Hay cámaras de grabación mostrando alguna interacción física con el ATM?

Como no parten de esto basico solamente hacen comentario y se centran en los strings y listo en 2 minutos a publicar información para que todo el mundo se entere de que son los primeros sin saber nada del background, eso es más que informar , es desinformar y causar pánico a la Gente que tiene otra marca de ATMs como de NCR , por que si supiera un poco de APTRA se hubiera dado cuenta que en la foto de que intentamos correr  el software las DDLs del PATH pertenecen a importaciones de AGILIS requeridas por AGILIS y  no por APTRA ya que aptra requiere más DLLS  para su interacción con el XFS .

seteando el entorno : ser encontrado en un cajero diebold este software y no en un XFS APTRA ni en un ATM de NCR con aptra por lo tanto hemos trabajado en identificar por qué nombra los strings de esta forma y puede ser para despistar o para cualquier idea que tenga el dev. por otro lado muchas veces en los forenses no solo se identifica que hay en el ATM mal o no deberia estar ahi y por qué motivos y en algunos de estos trabajos pues nos toca correr el Software o intentar correrlo con el entorno lo más parecido a producción o reproducir los ataques depende del objetivo no todos los clientes piden lo mismo en latinoamérica al menos hay clientes que te dicen "Hazme funcionar este bicho" o "muestra me que sabes haciendo funcionar esto" y por desgracia es así se convierte en "forense-reversing corre lo que sea", además cabe destacar que llegamos a la conclusión del punto 6 porque los que lo analicen verán que la función de acceso a dispensador está pero no termina de seleccionar bien las caseteras, por lo tanto creemos que son intentos.

Por otro lado la ruta del archivo de debug que se encuentra en el exe de VT C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb  es la pertenece a el exe subido, fue trabajado para tal fin y editado para facilitar nuestro entendimiento del exe y si la ruta de debug del exe es nuestra y si no les gusta disculpa no estoy aquí para facilitarte tu trabajo y que luego te aproveches vendiendo actualizaciones de antivirus para atms o para que desinformen!

Quien no esté contento como trabajamos o que info aportamos o que editamos en la info y que no editamos pues que les den!  tampoco en casos pasados compartimos el malware DieboldDP qué hacemos comentarios en este post o otras cosas, lo importan depende netamente de las opiniones de los clientes y su decisión de si nos permiten compartir o no y con qué información nos permiten compartir.

Estamos a favor de compartir información que nos permiten y es el principio de este blog un punto común de información de ATMs y seguridad en canales alternos en ESPAÑOL!!!! y no en ingles.


Recomendaciones :

1.- Prohibir la ejecución de cualquier software no solo centrarse en el hash de este o de cualquier otro software /malware generalmente la ejecución por listas blancas n con APPLOCKER o algún software de ACL

2.- Si por desgracia te lo esconden en algún update por la red de ATM, todos los últimos software de esta clase siempre buscan el mayor soporte de dispensadores por lo tanto borrar los regedit de forma remota de la denominación del dispensador y la ruta de la dll ayuda a que provoque errores el software al no encontrar el regedit y al menos pues se protege temporalmente y no se pierde dinero (ojo esta recomendación solo aplicarla en caso extremo ya que si no sabes operar bien lo regedit puedes terminar en que tengas que reinstalar el software del ATM)

3.- Con ATX podemos remotamente bloquear el  I/O controller del Dispensar  para que cuando busque el Hardware device CDM no esté operativo y el ataque no pueda proceder por mucho que se intente.

4.- Tener buenas políticas de seguridad para prevenir que te suban estos ejecutables al atm sea por un interno o por un externo al ATM


Name: died.exe

MD 56a7732feaa62e8b6ae60f9203c742162

SHA-1 : 94dfa4d597090b34adf18576235df60e3da69b00

SHA-256 d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0

Authentihash 4cdb89b93c770995763092ee6b5ad4c1a47ba9c3a5b6ef290fb7d11a4cebde29

File type Win32 EXE MagicPE 32 executable for MS Windows (console) Intel 80386 32-bit

File size 1.06 MB (1107968 bytes)

Rafael Revert

Rafael Revert

CTO and Co-founder of Cyttek Group and international consulting company specialized in providing Cyber Security , ATM, IA, Big Data and custom products for different sectors
Panama