Четверг, 21.11.2024, 18:01
Шаринг
Приветствую Вас Гость | RSS
Главная Регистрация Вход
Форма входа

Меню сайта

Категории раздела
Железо [96]
Sat-News [1892]
Интернет [554]
Медицина [9]
Game-News [130]
Новости Кино [167]
Это интересно [68]
Hi-Tech Новости [139]
Наука и Техника [376]
Юмор и Приколы [120]
Мировые новости [664]
Мобильная Жизнь [198]
Астрономия и НЛО [11]
Истории из Жизни [6]
Музыка и шоу-бизнес [30]
Компьютерные новости [787]
Компьютерная безопасность [559]
Отдел К или Компьютерное мошенничество [197]

Мини-чат

Наш опрос
Какое DVB-устройство вы используете?
Всего ответов: 26

Бесплатный Софт

Статистика

Онлайн всего: 34
Гостей: 34
Пользователей: 0

Зарег. на сайте
Всего: 1152
Новых за месяц: 0
Новых за неделю: 0
Новых вчера: 0
Новых сегодня: 0
Команда Сайта
Админинистраторов: 3
Модераторов: 0
Проверенных: 0
Обычных юзеров: 1149
Из них
Парней:1077
Девушек: 75


Последние файлы
Kaspersky Reset Trial 4.0.0.21
Просмотров:[4003]
Рейтинг:[0.0]
Скачиваний:[428]
Комментов:[0]
Kaspersky Internet Security 2015 15.0.0.463 (a) Final
Просмотров:[2796]
Рейтинг:[0.0]
Скачиваний:[308]
Комментов:[1]
Mozilla Firefox 31.0 Rus Final
Просмотров:[2115]
Рейтинг:[4.0]
Скачиваний:[363]
Комментов:[0]
FlipBuilder Flip PDF Professional 1.10.3 Final
Просмотров:[2570]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Google Chrome 32.0.1700.102 Final / 33.0.1750.5 Dev ML/Rus + PortableAppZ
Просмотров:[1562]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Total Commander 8.50b12 Extended 7.1 + Portable by BurSoft (2013/RUS/ENG) + Lite
Просмотров:[2097]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Portable Adobe InDesign CC 9.1.0.033 by punsh
Просмотров:[2913]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[2]
Aiseesoft DVD Converter Suite Ultimate 6.3.86.14221 Rus Portable
Просмотров:[1845]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
K-Lite Codec Pack 10.0.5
Просмотров:[1725]
Рейтинг:[0.0]
Скачиваний:[554]
Комментов:[0]
AIMP 3.55.1298 Beta
Просмотров:[1628]
Рейтинг:[0.0]
Скачиваний:[288]
Комментов:[0]
TSR Watermark Image Software 2.4.3.1
Просмотров:[1643]
Рейтинг:[0.0]
Скачиваний:[300]
Комментов:[0]
ProgDVB 6.95.3
Просмотров:[2681]
Рейтинг:[0.0]
Скачиваний:[1318]
Комментов:[1]
MSI Afterburner 3.0.0 Beta 15
Просмотров:[1789]
Рейтинг:[0.0]
Скачиваний:[346]
Комментов:[0]
Classic Shell 3.6.8
Просмотров:[1653]
Рейтинг:[0.0]
Скачиваний:[313]
Комментов:[0]
BurnAware Free 6.5
Просмотров:[1579]
Рейтинг:[0.0]
Скачиваний:[358]
Комментов:[0]
HWiNFO 4.25.2005 Beta
Просмотров:[1551]
Рейтинг:[0.0]
Скачиваний:[275]
Комментов:[0]
µTorrent 3.3.2.30131 RC3
Просмотров:[1634]
Рейтинг:[0.0]
Скачиваний:[323]
Комментов:[0]
Save2PC Light 4.2.8.411
Просмотров:[1229]
Рейтинг:[0.0]
Скачиваний:[298]
Комментов:[0]
NetWorx 5.2.10.13263
Просмотров:[1212]
Рейтинг:[0.0]
Скачиваний:[353]
Комментов:[0]
Ghosts'n goblins / Призраки и гоблины
Просмотров:[1188]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Marine Fighter / Морской истребитель
Просмотров:[1156]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Растения против Зомби 2: Речь идет о времени / Plants vs Zombies 2: It's about time
Просмотров:[1540]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Formula Racing 3D / Формула гонок 3D
Просмотров:[1047]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Assault group 3D / Штурмовая группа 3D
Просмотров:[1109]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Commander / Командор
Просмотров:[5703]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Mortal Kombat 4 / Смертельная битва 4
Просмотров:[1142]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Jewel Flip / Жонглирование драгоценностями
Просмотров:[1083]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Angry Birds: Star Wars MOD / Злые птицы: Звёздные Войны MOD
Просмотров:[1215]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Inspector Gadget's M.A.D dash / Безумный рывок инспектора Гаджета
Просмотров:[1045]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]
Sticky trick / Уловки Стрика
Просмотров:[1049]
Рейтинг:[0.0]
Скачиваний:[0]
Комментов:[0]

Главная » 2009 » Март » 27 » Техническое описание бекдора в банкоматах Diebold
15:16
Техническое описание бекдора в банкоматах Diebold

В сложившейся экономической ситуации мы привыкли слышать, как очередной банк сокращает своих сотрудников и обращается в аутсорсинговые компании для разработки программного обеспечения.

Основной вопрос, усиливает эта практика риск получения тайминговой бомбы, прошитых учетных записей или просто бекдоров, скрытых собственными разработчиками.

Интересный фрагмент кода, обнаруженный Ваней Сватчером (Vanja Svajcer) из Sophos подтверждает наши опасения.

Поскольку до конца неизвестно (отсутствуют доказательства), как этот код попал в банкомат, мы можем предположить, что это сделал человек, знающий архитектуру и имеющий физический доступ к аппаратному и программному обеспечению Diebold ATM. Привилегированный инсайдер, который либо хотел обеспечить страховку на «черный день», имея неограниченный доступ к наличным, либо планировал провести масштабную распределенную атаку на банки.

В любом случае, бекдор старательно скрывает себя на системе. Почему? Скорее всего, для того, чтобы оставаться незамеченным во время аудиторских проверок.

Бекдор состоит из «дроппера» и оставленного компонента.

Если на системе используется файловая система NTFS, дроппер создаст 2 альтернативных потока данных:
%windir%\greenstone.bmp:redstone.bmp
%windir%\greenstone.bmp:bluestone.bmp

В противном случае, создаст 2 файла:
%windir%\redstone.bmp
%windir%\bluestone.bmp

Эти файлы создаются из этих копий файлов, если они обнаружены на системе:
%windir%\trl2
%windir%\kl

Затем, дроппер предоставляет себе привилегии уровня SeDebugPrivilege и делает 50 попыток завершить процесс lsass.exe.

Бекдор устанавливает себя следующий образом:
Получает полный путь к бинарному файлу системной службы "LogWriter"
Останавливает службу "LogWriter"
Добавляет к имени ":", за которым следует pwrstr.dll
Помещает собственный ресурс PACKAGEINFO в альтернативный поток данных [LogWriter_binary_filename]:pwrstr.dll
Запускает службу "LogWriter", вместе с которой выполняется библиотека из нового источника.

Наконец, дроппер внедряет и запускает удаленную нить в процессе explorer.exe, которая перечисляет и удаляет все Windows Prefetch файлы.

После активации, библиотека внедряет 2 нити: одна будет внедрена в процесс mu.exe, другая – в процесс SpiService.exe - основную службу ("Diebold XFS Service") проприетарного ПО, работающего на банкоматах Diebold. Эти нити будут ответственны за внутреннее сообщение с драйвером Diebold через именной канал "\\.\pipe\lsndbd".

Другая нить начнет периодичный вызов (раз в секунду) API SQReceiveFromServer(), экспортируемого sharedq.dll. Содержимое буфера, заполненное этой функцией, будет проверяться на наличие тегов "TCS," и "HST,".

Если значения, указанные в тегах, разделяются символом ";", нить их извлечет и запишет в журнал в файл %windir%\greenstone.bmp:redstone.bmp на NTFS системе или в файл %windir%\redstone.bmp на другой файловой системе.
Так как тег "TCS," означает транзакции, а тег "HST," историю, бекдор способен собирать данные о пользователях и транзакциях в вышеупомянутом файле.

В случае, когда процесс обработки транзакции обнаруживает определенные данные, предположительно уникальные для атакуемого банкомата, бекдор перейдет в графический режим, который предоставит атакующему полный доступ к бекдору. В этом случае на дисплее банкомата будет отображено диалоговое окно с надписью "Agent" и приглашением "Enter command:", и драйверу Diebold будут переданы команды на активацию клавиатуры и чтение входных данных через последовательность команд, предоставленных DbdDevExecute() API, экспортируемых DbdDevAPI.dll. например, драйвер получит следующие команды:
EPP4_ENCODE_DECODE, EPP4_ENABLE_KEYBOARD_READ.

Затем, атакующий предоставляет одну из 10 возможных команд путем ввода номера на клавиатуре. Каждая команда инструктирует бекдор для выполнения определенных действий.

Например, команда «2» проинструктирует бекдор прочитать версию установленного ПО Diebold из ключей реестра:
HKLM\SOFTWARE\Diebold\Agilis 91x Core
HKLM\SOFTWARE\Diebold\Agilis 91x

Затем эта команда прочитает содержимое временных файлов redstone.bmp и bluestone.bmp и обработает детали транзакций из этих файлов. Наконец, будет отображено уведомление с собранной статистикой в следующем виде:
Agilis [version number]
Agent [version number]
Transactions [number]
Cards [number]
KEYs [number]

Команда 6 проинструктирует бекдор восстановить "Key A" и "Key B" из файла redstone.bmp, который будет распечатан на чеке.
Команда 8 позволит атакующему отобразить внутренние счетчики в диалоговом окне (это может потенциально сообщить о количестве наличных в банкомате).

Команда 7 сгенерирует случайное число и затем сгенерирует на его основе пароль. Затем будет отображено диалоговое окно "Autorization" (орфография сохранена):
Request Code: [random number]
Enter Responce:

Будет предоставлено 3 попытки для ввода корректного пароля.
Если пароль корректный, будет отображено диалоговое окно "Enter Command" (орфография сохранена)
1..4 - dispense cassete
9 - Uninstall
0 - Exit

В случае 1-4 будут выполнены команды AFD_DISPENCE, AFD_PRESENT и AFD_RESTORE, которые проинструктируют Advanced Function Dispenser (AFD) модуль изъять кассеты с наличными из банкомата.

С таким уровнем утонченности, учитывая наличие троянского приложения в его классической форме внутри банкомата, даже такие параноидальные приемы не спасут вас от кражи:

Просмотров: 640 | Добавил: Zidar | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Радио онлайн

Архив записей

Облако Тегов

Немного Юмора

Мировые Новости

Copyright MyCorp © 2024