2. David F. Pereira Q.
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS,
ECIH, EDRP, NFS, OPSEC, CCISO, CND.
• 19+ Años de experiencia en Seguridad
Informática y DFIR
• Hácker Etico / Pentester en diversas Entidades en
el mundo, de ámbitos como el Financiero,
Energético, Militar, Inteligencia, Diplomático,
Minero, entre otros.
• Experto Ciberdefensa Avanzada
• Instructor / Consultor de Fuerzas de
Ciberseguridad, Fuerzas Militares y Policía, en
varios Paises.
• CEO de SecPro
3. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
4. Jackpotting:
Nombre dado en el Underground la técnica o
ataque que permite extraer dinero de un
Cajero Automático sin necesidad de utilizar
una tarjeta Débito/Crédito legítima de forma
fraudulenta;
Tal como sacarse el premio de una máquina
tragamonedas.
Conceptos
6. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
7. Recabar Datos e Inteligencia (OSINT)
• Identificar Fabricantes
• Identificar Conectividad
• Conseguir Manuales y Especificaciones Tec.
• Estudio del Entorno (CCTV, Alarmas)
• Determinar Vulnerabilidades
• Físicas
• Lógicas
• Conseguir Herramientas
• Hardware
• Software
• Atacar!!
Modus Operandi del Ciberdelincuente
8. Consecución de Llaves de Seguridad:
• Cómplice Interno / Externo
• Mercado
http://www.atm-machineparts.com/sale-6123626-banking-machine-atm-spare-parts-safety-box-keys-with-multi-brand-and-model.html
Modus Operandi del Ciberdelincuente
9. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
10. Algunos Tipos de Ataque a ATM:
• Black Box
• Centro de Procesamiento Falso (Red)
• Malware Inyectado por USB
Ataques Varios
11. Ataques Black Box:
Utilizan una computador “Black Box”
conectado al ATM para colocarlo en modo
“Supervisor”.
La “Caja Negra” se controla remotamente con
un SmartPhone.
La “Black Box” es simplemente un RaspBerry
Pi de US$40 o similar;
Ataques
13. • Falta de Autenticación en el ATM para
intercambio de datos entre el Hardware
del ATM y sus Aplicaciones;
Solución:
• Autenticación de los Dispositivos XFS.
Por Qué logran el Ataque Black Box
14. Ataques con Centro de Procesamiento Falso
Utilizan una computador “Black Box” y
conectan a él el cable de red del ATM.
Falsifican por software el centro de
procesamiento.
Responden las peticiones realizadas por
medio del tráfico generado por el ATM.
Ataques
15. Ataque con Centro de Procesamiento Falso
https://business.kaspersky.com/atm-attack-3/6201/
16. • Acceso fïsico al cable de Red del ATM.
• Falta de Autenticacion entre las Aplicaciones
del ATM y el Centro de Procesamiento.
Solución:
• Protección Física del Cable de Red
• Autenticación entre el ATM y el Centro de
Procesamiento
• Encripción del tráfico
Por Qué logran el Ataque
de Centro de Procesamiento Falso
17. Ataques con Malware por USB
Conectan un dispositivo de almacenamiento
USB para infectar el ATM
Una vez infectado, pueden controlar el Cajero
por medio de la red o incluso desde el mismo
teclado PinPad.
Ataques
19. • Falta de AntiMalware Avanzado
• Falta de HIDS / HIPS / NIDS / NIPS
• Falta de File Integrity Validation
• Falta de Lista Blanca de Aplicaciones en el
ATM
• Falta de Autenticación en los datos
intercambiados entre el Hardware y las
Aplicaciones
Por Qué logran el Ataque
con Malware
20. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
22. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
24. Alice
Viene con mecanismos de detección de Debugging;
Dentro de la Evolución del malware, los
desarrolladores en su búsqueda de la evasión
antimalware, implementan nuevas técnicas;
26. Alice
http://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/
Si se ejecuta, crea 2 archivos:
xfs_supp.sys
trcerr.log
Alice conecta al CurrencyDispenser1 (XFS)
Luego recibe comendos por medio del PinPad
PIN Code Description of Command
1010100
Decrypts and drops file sd.bat in current
directory. This batch file is used to
cleanup/uninstall Alice.
0
Exits the program and runs sd.bat. Also
deletes xfs_supp.sys.
specific 4-digit PIN based on ATM’s terminal ID Opens the “operator panel”.
28. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
29. Otras Amenazas
• Ripper
• Metel (RollBack de Transacciones)
• Carbanak 2.0
• GCMAN
• Multivendor
• Robo de datos Biometricos por medio de
Skimmers
• Y la lista sigue…..
31. Agenda
• Conceptos
• Modus Operandi del Cibercriminal
• Ataques Varios
• Malware "Ploutus"
• Malware "Alice"
• Otras Amenazas
• Mecanismos de Defensa
32. Mecanismos de Defensa
• Controlar el Boot de el ATM y Bloquear el Arranque
desde dispositivos en los que no se confia;
(CD/DVD/USB)
• Encriptar el Disco duro del ATM
• Sistema Operativo Actualuzado y Parchado
• Bloqueo MD5 o SHA para ejecucion de Aplicaciones
• Segmentacion de la red de los ATM (Red Segura)
• Usar Protocolos que garanticen Integridad y
Confidencialidad en las Comunicaciones.