欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

黑客怎样破解ATM,两分钟就能拿走千万现金 (上)

来源:本站整理 作者:佚名 时间:2017-10-18 TAG: 我要投稿

主动取款机由各类装备构成的,而且每种装备都具备自己的固件。利用法式节制是咱们最感兴趣的ATM软件型掩护计划。如今,固然该掩护计划在市场上随处可见,然则仍旧有人可以或许胜利攻下ATM。是以,咱们对这款软件针对ATM的掩护机制非常感兴趣,以便进一步进步黑客盗取现金的难度。

ATM


在本文中,咱们研讨的主题是ATM的平安性。

咱们将把ATM视为一个由盘算机节制的保险箱。放入ATM的钱,被装入两个平装置置中:一个用于取款,另一个用于贷款。盘算机经由过程封闭式收集衔接到银行卡处置办事器。固然,ATM的制作、装置和把持会涉及到许多职员。那末,这些人都有可能利用自己的拜访权限来盗取ATM中的现金。

外部的侵犯者:

软件开辟职员:在代码中留下后门和bug

承包商:将加密密钥交给进击者

办事工程师:对硬件和软件组件动四肢举动,歹意利用密钥,玩忽职守(在保险箱关上的时刻有意分开)

运钞车押运员:偷泉币箱

外部的侵犯者:

银行客户:对纸币做四肢举动,掏出部门曾经存入ATM机的纸币。

没有专业知识的进击者:偷盗ATM、运钞车押运员、交际工程

具备专业知识和机器工具的进击者:损坏装备、拜访保险箱、把持贷款槽

具备专业知识而且可以或许现场阁下硬件和软件的进击者:拆解、黑盒进击、银行卡克隆、拜访ATM内的PC

具备专业知识而且可以或许长途阁下硬件和软件的进击者:经由过程当地收集停止未经受权的拜访、装置歹意软件、利用软件和把持体系的破绽

咱们的专长在于针对装备可编程组件的威逼阐发。

在本文中,咱们将阐发若何利用ATM内置PC上的软件破绽来动员进击。利用这些破绽,进击者可以或许以该情况中的最高权限履行随便率性代码。在内置盘算机上履行自己的代码的利益是,容许将敕令发送到吐钞器,而且每次拔出银行卡时都可以或许发送该敕令。 然则,咱们的代码与内置软件分歧,省略了一切不相干的细节,比方输出PIN或检查余额等。它要做的只是吐钞,而且是立刻吐钞。

演示视频:


ATM的ISS标准


确保ATM平安运转的症结之一是掩护体系的完整性。信息平安体系(ISS)制止任何改动体系或增加外部组件的测验考试,包含:软件(可履行文件、软件装置包、剧本)和硬件(USB存储装备、CD/DVD装备)。如许做的目标是避免任何无关的代码在装备上运转。 该体系必需仅实现其本身的功效,而且一直如斯。这听起来非常不错,然则实际中,仍存在许多办法可以或许将歹意软件上传到ATM电脑中:

当地拜访:

衔接USB总线,办法是弄掉相机,或在电线的地位打孔

关上ATM主体,并经由过程复制的办事密钥拔出磁盘、U盘、无线键盘插头

长途拜访:

从银行经由过程长途桌面上传歹意软件

利用为监控和治理装备而装置的收集办事中的破绽

别的,拜访节制也异样紧张。对装备、过程、文件体系、注册表工具和其余元素的拜访是由体系节制的,而且假如设置装备摆设准确的话,进击者在进击的初始阶段只具备无限的权限。纵然绕过了上述完整性节制,进击者仍旧必要停止提权能力拜访症结的资本,比方吐钞器。

别的,市场下面也有一些旨在加重经营ATM的银行的危险的产物。此中许多产物都是由著名的AV供应商供给的,曾经开辟的技巧包含:支撑署名、启发式、仿真器和脱壳功效的AV扫描软件;HIPS(主动掩护、行为阐发);防火墙。鉴于这种装备具备特别的平安性请求,以是这些产物还供给了更严厉的平安对策,比方利用法式白名单和装备节制(平日称为完整性节制工具)和帮助拜访节制工具(与OS本机工具相干) 。

咱们研讨了此中一些ISS组件,并了解了它们的一些风趣的事情道理。下面,咱们来考核一下作为这种产物的一员的卡巴斯基嵌入式体系平安(KESS)。

KESS功效概述


在其最低设置装备摆设情况下,该办理计划仅履行体系完整性节制。实现该义务的有两个模块:

装备节制——节制USB存储装备(如闪存驱动器、外接HDD、MTP Media Player装备等)的衔接

利用法式启动节制——节制体系中运转的代码。此中有些规矩用于:

过程的运转和库的加载

剧本的运转和MSI软件包。平日情况下,工具是经由过程数字署名、哈希值和门路来停止标识的

KESS遵守“默许拒绝”战略:制止一切未明白容许的内容。

别的,您还可以或许增加及时文件掩护——防病毒功效。AV扫描软件将在拜访文件时经由过程署名和启发式办法对文件停止检测。

无关该产物的更多信息,请参阅以下演示文稿: http://www.bts.md/BTS_files/Kaspersky%20Embedded%20Systems%20Security.pdf6

KESS的体系布局


该体系分为两层:

内核形式:KESS驱动法式将在这个特权内核履行形式下运转

用户形式:介于用户和体系过程之间运转的KESS办事在这个形式下运转

图中的组件包含:

驱动法式KLAM.SYS,卡巴斯基实验室拦阻器和运动监督器。它为文件体系注册一个过滤器,并在拜访文件体系工具时得到对回调的节制权。注册将关照例程去创立过程和线程。是以,它的感化是在内核形式下履行体系规模的监督和节制。该驱动法式是利用法式启动节制和及时文件掩护的一部门。

驱动法式KLFLTDEV.SYS,卡巴斯基实验室PNP装备过滤器,用于节制标示为“大容量存储”的PNP装备的利用情况;它属于装备节制的一部门。

驱动法式KLRAMDISK.SYS,卡巴斯基实验室虚构RAM磁盘。

KlamMsgPort是驱动法式KLAM.SYS和过程KAVFSWP.EXE的新闻通道。来自用户形式的各类哀求将经由过程该通道传递给驱动法式。

KAVFS.EXE办事和KAVFSWP.EXE子过程。ISS的检测和办理计划的逻辑都会合在这里。将讯断成果传递给驱动法式,从而决议容许或阻拦受监督过程的把持(比方,加载DLL)

KAVFSWH.EXE办事过程:实现利用法式和外部署理之间的互连以实现过程内存的掩护。

KAVFSGT.EXE办事过程:供给KESS治理功效。

进击KESS


咱们将测验考试绕过该平安体系,并在机器上实现代码的提权,如许咱们的代码就能够或许节制吐钞器了。依据该产物供给的办理计划的布局,咱们的进击战略分为以下几个阶段:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载