ATM攻击和场景分析(下)
Cash robbery
Black Box
前面提到过过,cash dispenser位于safe中,是有物理保护的。但cash dispenser与ATM计算机的连接位于safe之外,因此很容易就可以访问。有犯罪分子在ATM的前面板上挖洞来访问dispenser cable。这样,犯罪分子就可以直接连接到cash dispenser到他们自己的设备,他们的设备一般是一个运行修改过的ATM诊断工具的单片机,可以发送提现命令。一般来说,诊断工具会检查验证访问是不是合法的,但攻击者知道怎么样去绕过检查和其他安全机制。这些技术加起来就叫做lack Box攻击。
图11. Black Box组件
图12. A Black Box
图13. A Black Box攻击
为了预防Black Box攻击,ATM厂商建议使用最新的XFS对OS和dispenser之间进行强加密和物理认证。如果有物理认证,加密密钥就只会在确认了对safe的合法访问后才会发送。但是攻击者也有一些应对的方式,比如墨西哥的犯罪分子在攻击者就用endoscope模拟了物理认证。而且在最新的软件版本中加密也没有很好的实现。2018年Positive Technologies就发现了可以在dispenser控制器上安装修改版的固件和绕过物理认证的方法。
而且有一半的ATM中使用的都是有漏洞的NCR保护系统。而且有19%的ATM一点点应对Black Box攻击的保护措施也没有。
建议
在OS和dispenser之间使用物理认证来确认对safe的合法访问;
加密ATM OS和dispenser之间的数据;
使用最新的软件版本,定期安装更新;
监控和记录安全事件;
考虑使用外部设备来保护对cash dispenser的非授权认证。
退出kiosk模式
一般的ATM用户只设计了与一个应用交互,这个应用就可以接收来自用户的输入并在屏幕上展示信息。应用运行在kiosk模式,也就是说用户不能运行其他程序或访问OS函数。如果推出kiosk模式,攻击者就可以绕过这些限制,在ATM OS中运行命令了。下面是几个潜在的攻击场景:
1.攻击者用一个设备来模拟用户键盘输入,并将该设备连接到ATM的USB或PS/2接口上。攻击的下一步就可以完全自动化,或远程完成。2.攻击者获取对OS的访问权限。在hotkey的帮助下推出kiosk模式,对输入的限制就没有了。3.最后一步是绕过应用控制(Application Control),获取发送命令到cash dispenser的能力。
图14. 连接到攻击者设备
图16.退出kiosk模式:攻击场景
测试中发现的漏洞
在对ATM的测试中研究人员发现的漏洞有配置错误,对用户权限限制不够,应用控制漏洞。
图17. 漏洞分布
大多数测试的ATM都允许自由连接USB或PS/2设备。因此,犯罪分子可以连接键盘或其他模拟用户输入的设备。预防对任意信息的输入是非常重要的,比如特定的字符串组合可以推出kiosk模式,获取对OS函数的访问权限。大多数测试的ATM都运行着特殊的软件来有选择地禁用key组合。但85%的安理中,标准key组合仍然是可用的,包括Alt+F4,Win+Ctrl, Alt+Tab, Alt+Shift+Tab等。这些技术允许关闭STM kisok应用窗口,关闭负责拦截任意键盘输入的应用。
图18.用键盘快捷方式退出kiosk模式
退出kiosk模式的漏洞可能也存在于安全软件中。比如有2个ATM运行着记录视频和监控安全事件的软件。应用窗口是隐藏的,但在测试期间,研究任意发现如果把鼠标的光标移到屏幕中间,隐藏的窗口就出现了。应用含有可用编辑文件的函数,这就可以访问Windows资源管理器,随后访问计算机上的其他软件,如Internet Explorer和FAR Manager。
图19. 从智能软件退出kiosk模式
图20. 从智能软件退出kiosk模式
同样应该配置本地安全策略来拒绝用户读写文件或启动任意程序。对大多数测试的ATM,本地安全策略一般都配置地不好或者完全没有。
测试的ATM中,有92%安装了应用控制解决方案。这都是为了预防恶意代码执行。应用控制配置的核心弱点在于如何创建白名单的应用,一般来说应用控制安装过程中系统中已有的软件都会被分类为可信的,但有些软件并不是ATM所必须的。因此,白名单软件的漏洞可能被攻击者利用来执行任意代码和关闭保护功能。
Cash robbery
Black Box
前面提到过过,cash dispenser位于safe中,是有物理保护的。但cash dispenser与ATM计算机的连接位于safe之外,因此很容易就可以访问。有犯罪分子在ATM的前面板上挖洞来访问dispenser cable。这样,犯罪分子就可以直接连接到cash dispenser到他们自己的设备,他们的设备一般是一个运行修改过的ATM诊断工具的单片机,可以发送提现命令。一般来说,诊断工具会检查验证访问是不是合法的,但攻击者知道怎么样去绕过检查和其他安全机制。这些技术加起来就叫做lack Box攻击。
图11. Black Box组件
www.wnhack.com
图12. A Black Box
图13. A Black Box攻击
为了预防Black Box攻击,ATM厂商建议使用最新的XFS对OS和dispenser之间进行强加密和物理认证。如果有物理认证,加密密钥就只会在确认了对safe的合法访问后才会发送。但是攻击者也有一些应对的方式,比如墨西哥的犯罪分子在攻击者就用endoscope模拟了物理认证。而且在最新的软件版本中加密也没有很好的实现。2018年Positive Technologies就发现了可以在dispenser控制器上安装修改版的固件和绕过物理认证的方法。
而且有一半的ATM中使用的都是有漏洞的NCR保护系统。而且有19%的ATM一点点应对Black Box攻击的保护措施也没有。
建议
在OS和dispenser之间使用物理认证来确认对safe的合法访问;
加密ATM OS和dispenser之间的数据;
使用最新的软件版本,定期安装更新;
监控和记录安全事件;
考虑使用外部设备来保护对cash dispenser的非授权认证。
退出kiosk模式
一般的ATM用户只设计了与一个应用交互,这个应用就可以接收来自用户的输入并在屏幕上展示信息。应用运行在kiosk模式,也就是说用户不能运行其他程序或访问OS函数。如果推出kiosk模式,攻击者就可以绕过这些限制,在ATM OS中运行命令了。下面是几个潜在的攻击场景: copyright 无奈人生
1.攻击者用一个设备来模拟用户键盘输入,并将该设备连接到ATM的USB或PS/2接口上。攻击的下一步就可以完全自动化,或远程完成。2.攻击者获取对OS的访问权限。在hotkey的帮助下推出kiosk模式,对输入的限制就没有了。3.最后一步是绕过应用控制(Application Control),获取发送命令到cash dispenser的能力。
图14. 连接到攻击者设备
图16.退出kiosk模式:攻击场景
测试中发现的漏洞
在对ATM的测试中研究人员发现的漏洞有配置错误,对用户权限限制不够,应用控制漏洞。
图17. 漏洞分布
大多数测试的ATM都允许自由连接USB或PS/2设备。因此,犯罪分子可以连接键盘或其他模拟用户输入的设备。预防对任意信息的输入是非常重要的,比如特定的字符串组合可以推出kiosk模式,获取对OS函数的访问权限。大多数测试的ATM都运行着特殊的软件来有选择地禁用key组合。但85%的安理中,标准key组合仍然是可用的,包括Alt+F4,Win+Ctrl, Alt+Tab, Alt+Shift+Tab等。这些技术允许关闭STM kisok应用窗口,关闭负责拦截任意键盘输入的应用。
内容来自无奈安全网
图18.用键盘快捷方式退出kiosk模式
退出kiosk模式的漏洞可能也存在于安全软件中。比如有2个ATM运行着记录视频和监控安全事件的软件。应用窗口是隐藏的,但在测试期间,研究任意发现如果把鼠标的光标移到屏幕中间,隐藏的窗口就出现了。应用含有可用编辑文件的函数,这就可以访问Windows资源管理器,随后访问计算机上的其他软件,如Internet Explorer和FAR Manager。
图19. 从智能软件退出kiosk模式
图20. 从智能软件退出kiosk模式
同样应该配置本地安全策略来拒绝用户读写文件或启动任意程序。对大多数测试的ATM,本地安全策略一般都配置地不好或者完全没有。 www.wnhack.com
测试的ATM中,有92%安装了应用控制解决方案。这都是为了预防恶意代码执行。应用控制配置的核心弱点在于如何创建白名单的应用,一般来说应用控制安装过程中系统中已有的软件都会被分类为可信的,但有些软件并不是ATM所必须的。因此,白名单软件的漏洞可能被攻击者利用来执行任意代码和关闭保护功能。
copyright 无奈人生