Tag Archives: ATMs

Backdoor.Ploutus se Renueva y Sale de México

backdoor ploutus head.jpg

El 4 de septiembre de 2013, Symantec fue el primero en descubrir y añadir detección a un nuevo malware dirigido a cajeros automáticos llamado Backdoor.Ploutus, según lo informado en las definiciones de liberación rápida . Recientemente, se identificó una nueva variante de esta amenaza, la cual evolucionó y ahora se ha traducido al inglés, lo que sugiere que el software dirigido a los cajeros automáticos podría estar siendo usado también en otros países.

Tras esta investigación, el 25 de octubre de 2013 Symantec añadió una detección genérica para esta nueva variante con el nombre de Backdoor.Ploutus.B, por lo que ahora Ploutus se puede detectar cuando está inactivo y cuando está ejecutándose.

Metodología de infección

De acuerdo con fuentes externas, el malware se transfiere al cajero automático al insertar físicamente un nuevo disco de arranque en la unidad de CD- ROM. El disco de arranque es el que transfiere el malware.

Impacto

Los delincuentes han portado el malware a una arquitectura más robusta y lo tradujeron al inglés lo cual sugiere que el mismo software que se descubrió en un inicio, ahora podría ser utilizado en países fuera de América Latina.  

El número de bancos afectados por Backdoor.Ploutus.B está fuera del alcance de esta investigación, toda vez que dicha información es manejada por las entidades afectadas.

Nuevas caracteristicas de Backdoor.Ploutus.B

El nombre binario de la versión en inglés es “Ploutos.exe” en lugar de “PloutusService.exe” (como era en la versión en español). Ahora el programa ha pasado de ser algo independiente a ser una arquitectura modular.

backdoor ploutus fig 1.png

Figura 1. Arquitectura modular de Ploutus

El nuevo servicio NCRDRVP esta fuertemente protegido contra ingeniería inversa y esconde sus acciones maliciosas para evitar ser detectado. De acuerdo con la investigación, puede realizar las siguientes tareas:

• Instalar o desinstalar el servicio

• Interceptar los mensajes del teclado del cajero para recibir órdenes de los delincuentes

• Iniciar al Dispatcher (ver arriba) y comunicarse a través de un raw socket

El Dispatcher recibirá instrucciones de NCRDRVP a través de un raw socket. Este socket no es fácil de detectarse, ya que no aparece en la lista de protocolos TCP o UDP que utiliza el sistema. El Dispatcher puede realizar las siguientes acciones:

• Analizar las órdenes recibidas para asegurarse de que son válidas

• Ejecutar Ploutus a través de la línea de comandos

Backdoor.Ploutus.B utiliza la misma interfaz (clase NCR.APTRA.AXFS ) para interactuar con el cajero, y solo se concentra en el suministro de dinero, pero agrega nuevas funcionalidades como:

• Puede imprimir la configuración completa del cajero automático si una impresora USB está conectada a la máquina (la versión en español envía esta información a un archivo log en lugar de imprimirlo)

• No cuenta con una interfaz gráfica de usuario (GUI) y en su lugar acepta comandos desde el teclado del cajero automático

• No ofrece soporte para un teclado externo conectado al cajero (como en la versión en español)

• Retira el dinero del casete o bandeja con más billetes disponible y ya no tiene la opción de ingresar una cantidad específica a retirar

• Mostrará una ventana a los criminales con los detalles de las transacciones realizadas y el dinero disponible en el cajero (esta vez en inglés):

Ploutus Reloaded fig 2 edit.png

Figura 2. Ventana mostrando el detalle de la transacción durante el retiro

Acciones realizadas por Backdoor.Ploutus.B

La nueva versión tiene las mismas funcionalidades que la versión anterior:

  1. Genera un ID del Cajero – Aleatoriamente genera un número que es asignado al cajero infectado, basado en el día y mes al momento de la infección.
  2.  Activa el ID del Cajero – Establece un contador de tiempo para retirar el dinero. El malware entregará el dinero sólo dentro de las primeras 24 horas de haber sido activado.
  3. Retira Efectivo: Entrega el dinero basado en el casete con más dinero disponible

Interactuando con Backdoor.Ploutus.B a través del teclado del cajero

Los atacantes envían un código de 16 dígitos a través del teclado del cajero, dicha información es recibida por el Servicio de NCRDRVP :

                    • 123456789ABCDEFG

Dicho código se envía entonces al Dispatcher a través del raw socket. El Dispatcher envía una instrucción de 33 dígitos a Ploutus a través de la línea de comandos:

cmd.exe / c Ploutos.exe 5449610000583686 = 123456789ABCDEFG

Si los últimos 16 dígitos son igual a: 2836957412536985 , entonces Ploutus generará un ID del cajero.

Si Ploutus genera un ID del cajero, los atacantes pueden ingresar otros 16 dígitos, pero sustituyendo los dos últimos teniendo la siguiente funcionalidad:

Si los dos últimos dígitos son 99:

• Ploutus se detiene

Si los dos últimos dígitos son 54:

•  Se activara el cajero listo para entregar dinero

• Establece el contador de tiempo para entregar el dinero (24 horas)

Si los dos últimos dígitos son 31:

• El cajero entregara el dinero calculado e imprimirá la configuración completa del mismo si detecta una impresora USB conectada a la maquina

Proceso de Retiro de Efectivo

  1. Identificará el número de dispositivos dispensadores en el cajero automático.
  2. A continuación, obtiene el número de casetes disponibles por dispensador y los carga. En este caso, el malware supone que hay un máximo de cuatro casetes por dispensador ya que conoce el  modelo y diseño del cajero comprometido. Los casetes contienen los billetes disponibles en el cajero.
  3. Calcula la cantidad de dinero a entregar basado en un numero fijo de billetes (40), multiplicado por la denominación actual de la unidad.
  4. Después inicia la operación de retiro de efectivo. Si el casete implicado en este proceso tiene menos de 40 unidades (billetes) disponibles, entonces encontrara el casete con mas billetes disponibles y vaciará solamente esa unidad.
  5. Abrirá un panel (ver Figura 2) donde desplegará los detalles de la transacción así como la cantidad de dinero disponible en el cajero.
  6. Ploutus oculta el panel y queda en espera de nuevas solicitudes de entrega de dinero.

Lo que este descubrimiento pone sobre la mesa es el creciente nivel de cooperación entre los criminales del mundo físico tradicional con hackers y delincuentes cibernéticos. Con el uso cada vez mayor de la tecnología en todos los aspectos de la vida y las nuevas medidas de protección, los delincuentes tradicionales se están dando cuenta de que, para llevar a cabo robos con éxito,  ahora requieren otro conjunto de habilidades que no necesitaban en el pasado. Los ladrones modernos de bancos ahora necesitan tener en su equipo a profesionales en tecnología calificados para ayudarles a robar.

Este tipo de situaciones  no sólo pasa en las películas, está sucediendo en la vida real y es un ejemplo de cómo los ciberataques se están volviendo más específicos, recordemos que según datos del Informe sobre Amenazas a la Seguridad en Internet de Symantec, en 2012 los ataques dirigidos crecieron 42% y el sector financiero es el segundo sector más atacado por este tipo de cuestiones con 19% del total. Datos de septiembre de este año revelan que el 13% de los ataques por industria tuvo al sector financiero en la mira.

Cabe mencionar que los usuarios de los cajeros automáticos no están siendo afectados por esta situación directamente, sino que son las instituciones financieras las que están siendo blanco de este ataque, por ello, Symantec recomienda lo siguiente:

  • Configurar el BIOS boot order para que solamente formatee o reinicie desde el disco duro (y no desde CD/DVD, USBs, etc)
  • Asegurar el BIOS con una contraseña para que los atacantes no puedan reconfigurar o modificar de reinicio.
  • Asegurar que las firmas de su AV o solución de seguridad estén actualizadas.

Symantec Security Response continuará monitoreando el comportamiento y evolución de de Backdoor.Ploutus para mantener a sus clientes protegidos.

Backdoor.Ploutus ?? – ???????????? Ploutus

backdoor ploutus head.jpg

 

Rapid Release 定義のページで報告されているとおり、シマンテックは 2013 年 9 月 4 日、ATM を標的にする Backdoor.Ploutus という新しいマルウェアを最初に検出し、その検出定義を追加しました。最近になってこのマルウェアの新しい亜種が見つかりましたが、以前より進化したうえに英語に翻訳されていることから、同じ ATM ソフトウェアが他の国や地域でも使われていることを示唆しています。

シマンテックは 2013 年 10 月 25 日、この新しい亜種に対する汎用的な検出定義を Backdoor.Ploutus.B として追加しました。Ploutus は、活動していない状態でも実行中でも検出することができます。

感染の手法

シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。

影響

今回、犯罪者は、マルウェアをさらに堅ろうなアーキテクチャに移植したうえ、英語に翻訳しています。まるで、中南米以外の国や地域でも同じ ATM ソフトウェアを悪用できることがわかったのだと、ほのめかしているようです。

Backdoor.Ploutus.B の影響を受けている金融機関の数については、今回の調査では対象にしていません。関係各機関に委ねられています。

Backdoor.Ploutus.B の新しい特徴

英語版のバイナリ名は PloutusService.exe ではなく Ploutos.exe となり、スタンドアロンのプログラムからモジュール式のアーキテクチャに変更されています。
 

backdoor ploutus fig 1.png

図 1. モジュール式のアーキテクチャに変更された Ploutus
 

新しい NCRDRVP サービスは高度に不明瞭化されているため、その悪質な活動は検出をすり抜けて、以下の処理を実行する可能性があります。

  • サービスをインストールまたはアンインストールする。
  • キーボードフッキングを実行する。
  • ディスパッチャ DLL をロードする。
  • ATM のテンキーから犯罪者が入力したコマンドを受信する。
  • RAW ソケットを通じてディスパッチャにコマンドを転送する。

このディスパッチャは、RAW ソケットを作成して命令に対する応答を準備します。RAW ソケットは、システムが使う TCP プロトコルまたは UDP プロトコルにリストされないため、検出が容易ではありません。ディスパッチャは、以下の処理を実行する可能性があります。

  • 受信したコマンドを解析してその有効性を確認する。
  • コマンドライン引数を通じて Ploutus を実行する。

Backdoor.Ploutus.B は同じインターフェース(NCR.APTRA.AXFS クラス)を持ち、現金の引き出しがメインの機能である点は変わりませんが、いくつかの相違点もあります。今回のバージョンの特徴は、以下のとおりです。

  • ATM に USB プリンタを接続すれば、すべての ATM 設定情報を印刷できる(スペイン語版は、この情報をログファイルに出力する)。
  • グラフィカルユーザーインターフェース(GUI)を持たず、その代わりに ATM のテンキーからのコマンドを受け付ける。
  • 現金の引き出し中、攻撃者には ATM で利用可能な金額を示すウィンドウとトランザクションログが表示される。
  • ATM へのキーボードの接続には対応していない。
  • 引き出し可能な紙幣が最も多いカセットから現金を引き出すが、特定の紙幣で金額を指定するオプションはない。

Ploutus Reloaded fig 2 edit.png

図 2. 侵入先の ATM で引き出し可能な現金が表示されるウィンドウ
 

Backdoor.Ploutus.B によって実行される処理

新しいバージョンでも、次の機能は古いバージョンと変わっていません。

  • 乱数を生成し、侵入した時点の日付に基づいて侵入先の ATM に割り当てる。
  • 現金を引き出すためのタイマーを設定する(マルウェアは、アクティブ化されてから 24 時間以内に限って現金を引き出す)。
  • 引き出し可能な紙幣が最も多いカセットから現金を引き出す。

ATM のテンキーによる Backdoor.Ploutus.B の操作

攻撃者は ATM のテンキーを使って次のような 16 桁のコマンドコードを送信し、そのコードが NCRDRVP サービスで受信されます。

  • 123456789ABCDEFG

次に、このコードが RAW ソケットを通じてディスパッチャに転送され、ディスパッチャは次のようなコマンドラインで 33 桁の命令を Ploutus に送信します。

  • cmd.exe /c Ploutos.exe 5449610000583686=123456789ABCDEFG

最後の 16 桁が 2836957412536985 に等しければ、Ploutus は ATM ID を生成します。Ploutus が ATM ID を生成した場合、攻撃者は同じ 16 桁を入力できますが、このとき下 2 桁を書き換えてさまざまな処理を実行します。

下 2 桁が 99 の場合:

  • Ploutus が終了する。

下 2 桁が 54 の場合:

  • エンコードされている ATM ID と現在の日付に基づいて生成されるコードによって、ATM ID がアクティブ化される。この値は、config.ini ファイルの DATAC というエントリに保存されます。ATM で現金を引き出すには、有効な ATM アクティブ化コードを取得する必要があります。
  • 現金を引き出すためのタイマーが設定され、その値が config.ini ファイルの DATAB というエントリに保存される。

下 2 桁が 31 の場合:

  • ATM で現金が引き出され、USB プリンタを接続していれば、すべての ATM 設定情報が印刷される。

侵入後の引き出しプロセス

  1. Ploutus が ATM でディスペンサデバイス数を識別します。
  2. ディスペンサ 1 台当たりで利用可能なカセット数を取得し、ロードします。今回の場合、犯罪者は ATM モデルの設計がわかっているため、Ploutus はディスペンサ当たりのカセット数が最大 4 つであると想定します。
  3. 次に、40 に設定された紙幣枚数に現金の単位値を掛けて引き出し金額を計算します。
  4. 現金引き出し処理が開始されます。いずれかのカセットで利用できる上限が 40 単位(紙幣)に満たない場合は、利用可能な紙幣の枚数がもっと多いカセットを探して、そのカセットのみから全額を引き出します。
  5. パネル(図 2 を参照)を開き、トランザクションの詳細と ATM の残額を表示します。表示が終わるとパネルを閉じます。
  6. 最後に、現金の引き出しが要求されるたびにステップ 4 を繰り返します。

あなたの身近なところで ATM から現金が引き抜かれている

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではなく、実際に起きている現実です。もっとも、この問題で ATM の利用者が直接の被害を受けるわけではなく、狙われているのはあくまでも金融機関です。シマンテックは、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • ハードディスクからのみブートするように BIOS のブート順序を設定する(CD/DVD、USB からは起動しない)。
  • 攻撃者がブートオプションの設定を変更できないように、BIOS をパスワードで保護する。
  • BIOS によってブート時から読み取りと起動が可能なハードウェアを取り外すことを検討する。
  • ウイルス対策のシグネチャとセキュリティソリューションを常に最新の状態に保つ。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Ploutus Reloaded – Ploutus Leaves Mexico

 
On September 4, 2013, we were the first to discover and add detections for a new malware targeting ATMs named Backdoor.Ploutus, as reported by our Rapid Release Definitions. Recently, we identified a new variant of this threat and realized that…

ATM ????????????

      No Comments on ATM ????????????

寄稿: Val S

Mexican ATMs 1.jpg

メキシコの犯罪組織は、金銭を盗み出す新しい手口を次々と生み出すことで悪名を馳せています。現金自動預け払い機(ATM)も頻繁に狙われていますが、犯罪者にとって問題になるのは ATM から実際に現金を取り出す方法です。以下の 3 つの方法がよく使われています。

  1. 誘拐: 一般市民を誘拐して、口座が空になるまで預金をすべて引き出させます。所要時間は口座から引き出せる金額によって異なります。1 日当たりの払い戻し金額には上限が設けられているのが普通だからです。
  2. 物理的な ATM の強奪: ATM を別の場所に持ち去り、そこでゆっくり中の現金を取り出します。この場合、問題になるのは金銭的な損失だけにとどまりません。犯罪者は、ATM 上で実行されているソフトウェアにもアクセスできるので、それをリバースエンジニアリングできれば同じソフトウェアが実行されているすべての ATM に対する攻撃が可能になるためです。
  3. ATM スキミング: キャッシュカード読み取り部分に装置を取り付け、暗証番号などの個人識別情報(PII)を盗み出そうとします。押されたボタンを記録するために、偽のテンキーをかぶせる場合もあります。

以上の手口はいずれも、成否が完全に外的な要因に左右されますが、犯罪者にとって最も望ましいのは、ボタンをいくつか押すだけで ATM から現金を吐き出させる(2010 年の BlackHat カンファレンスで故バーナビー・ジャック(Barnaby Jack)氏が実演したように)ことです。金融機関にとっては悪夢ですが、犯罪者の夢が実現してしまったかもしれません。他のウイルス対策企業との合同調査で、シマンテックは 2013 年 8 月 31 日にそのサンプルを特定し、2013 年 9 月 4 日にその検出定義を追加しました。このサンプルは Backdoor.Ploutus として検出されます。

感染の手法

シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。

影響

今回の犯罪者が作成したインターフェースは、侵入した ATM 上の ATM ソフトウェアと対話するため、現金を格納しているコンテナ(カセットとも呼ばれます)から、利用可能な現金をすべて引き出すことができます。

注意しなければならないのは、カードの所有者が ATM のテンキーで入力した情報をすべて読み取る機能も備えているため、犯罪者は外部デバイスをいっさい使わずに重要な情報を盗み出せるという点です。

このマルウェアの影響を受けている他の国や地域から確定的な情報はまだ届いていませんが、同じ ATM ソフトウェアを使っている他の国や地域の金融機関も狙われる恐れがあります。

Backdoor.Ploutus の技術的な特徴

  1. NCRDRVPS という名前の Windows サービスとして実行される。
  2. 犯罪者は、侵入した ATM 上の ATM ソフトウェアと対話するインターフェースを作成するために、NCR.APTRA.AXFS クラスを使っている。
  3. バイナリ名は PloutusService.exe である。
  4. 開発には .NET 技術が使われており、Confuser 1.9 というソフトウェアで不明瞭化されている。
  5. 隠しウィンドウが作成され、犯罪者はこれを利用して ATM を操作できる。
  6. Backdoor.Ploutus は犯罪者が入力する特定のキーの組み合わせをコマンドとして解釈する。コマンドは、外付けキーボード(ATM に接続する必要がある)からでも、テンキーから直接でも受け付けられる。

Backdoor.Ploutus によって実行される処理

  1. ATM ID の生成: 乱数を生成し、侵入した時点の月日に基づいて侵入先の ATM に割り当てられます。
  2. ATM ID のアクティブ化: 現金を引き出すためのタイマーを設定します。マルウェアは、アクティブ化されてから 24 時間以内に限って現金を引き出します。
  3. キャッシュの引き出し: 犯罪者が要求した金額に基づいて現金が引き出されます。
  4. 再起動(サービス): 引き出し期間をリセットします。

失効していないアクティブな ATM ID を使って現金を引き出す必要があるため、上に挙げたコマンドのリストはこの順序で実行される必要があります。

ソースコードではスペイン語の関数名が使われ、英語の文法に間違いがあることから、このマルウェアはスペイン語圏の開発者によって作成されたものと考えられます。

テンキーによる Backdoor.Ploutus の操作

前述したように、このタイプの操作では別途キーボードを接続する必要はありません。

ATM のテンキーを使って入力されるコマンドコードとその目的は、以下のとおりです。

12340000: キーボードがコマンドを受け取っているかどうかをテストします。

12343570: ATM ID を生成します。ID は、config.ini ファイルの DATAA というエントリに保存されます。

12343571XXXXXXXX: これは 2 つの処理を実行します。

  1. エンコードされている ATM ID と現在の日付に基づいてアクティブ化コードを生成し、ATM ID をアクティブ化します。この値は、config.ini ファイルの DATAC というエントリに保存されます。読み込まれる最初の 8 バイトは、CrypTrack() という関数によって生成された、有効なエンコード済み ATM ID でなければなりません。ATM で現金を引き出すには、有効な ATM アクティブ化コードを取得する必要があります。

12343572XX: ATM に現金を引き出すよう命令します。伏せ字にしてある桁が、引き出す金額(100 ドル紙幣の枚数)を表します。

GUI による Backdoor.Ploutus の操作

この方法を使うには、外付けキーボードが必要です。

F8 = Backdoor.Ploutus のウィンドウが非表示の場合に、それを ATM のメイン画面に表示します。これにより、犯罪者がコマンドを送信できるようになります。

Backdoor.Ploutus のウィンドウが表示されたら、キーボードで対応するキーを押すと以下のキーコマンドが発行されます。

F1 = ATM ID の生成

F2 = ATM ID のアクティブ化

F3 = 引き出し

F4 = Backdoor.Ploutus ウィンドウの無効化

F5 = KeyControlUp(上に移動)

F6 = KeyControlDown(下に移動)

F7 = KeyControlNext(次に移動)

F8 = KeyControlBack(前に移動)

Mexican ATMs 2.png

図. Backdoor.Ploutus のキーコマンド

侵入後の引き出しプロセス

今回の犯罪者が ATM ソフトウェアをリバースエンジニアリングし、それと対話するインターフェースを作り上げたことは明らかです。私たちは ATM アーキテクトではありませんが、確認できたコードに基づいて、Backdoor.Ploutus には以下のような機能があると推測できます。

  1. ATM のディスペンサデバイスを識別します。
  2. ディスペンサ 1 台当たりのカセット数を取得し、ロードします。今回の場合、犯罪者は ATM モデルの設計がわかっているため、Backdoor.Ploutus はディスペンサ当たりのカセット数が最大 4 つであると想定します。
  3. 次に、所定の紙幣枚数に現金の単位値を掛けた値に基づいて引き出し金額を計算します。
  4. 現金引き出し処理が開始されます。いずれかのカセットで利用できる上限が 40 単位(紙幣)を下回る場合は、要求された金額を引き出すかわりに、そのカセットで利用できる全額が引き出されます。
  5. 最後に、ATM からすべての現金が引き出されるまで、残りのカセットについてもステップ 4 を繰り返します。

あなたの身近なところで ATM から現金が引き抜かれているかも…

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではありません。実際に、もしかしたら皆さんの身近な ATM で起きているかもしれない現実なのです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Criminales Ganan la Lotería Mediante Cajeros Automáticos

Contribuidor: Val S

Es del conocimiento público que los delincuentes en todo el mundo y en México siempre están buscando nuevas formas de obtener dinero ilícito. Una de las formas más comunes de ganar dinero &ldquo…