SANS@Night

Wie man einen Bankautomaten hackt

| Autor / Redakteur: Erik van Buggenhout / Stephan Augsten

Hacking-Versuch 2: Malware und Angriffe auf das Betriebssystem

Die Mehrheit der ATMs läuft nach wie vor mit Windows-basierten Betriebssystemen. Im Januar 2014 meldete NCP, dass schätzungsweise 95 Prozent der Bankautomaten immer noch mit Windows XP laufen. Um zumindest für ein bisschen Mehr an Sicherheit zu sorgen, haben die meisten Firmen Verträge abgeschlossen, die ihnen den XP-Support über den April 2014 hinaus zusichern.

Ein weiterer interessanter Fakt ist, dass die große Mehrheit der ATMs den CEN/XFS-Standard nutzt. Dieser erlaubt es, die gleichen ATM-Anwendungen und -Konfigurationen über verschiedene Hersteller hinweg zu nutzen. Die Geräte verfügen also über eine allgemeine API, die eine Kommunikation der Windows-Applikationen mit verschiedenen Peripheriekomponenten (Auszahlmodul, Kartenlesegerät) ermöglicht.

Der XEN/XFS Standard ist frei verfügbar und lässt sich über das Internet abrufen. Selbst mit relativ geringen Kenntnissen für Software-Entwicklung ist es also möglich, eine Windows Anwendung zur Kontrolle der ATM Peripheriegeräte zu programmieren. Das Problem ist also nicht, eine Malware zu schreiben, sondern sie in den Geldautomaten einzuschleusen. Cyber-Kriminelle gehen folgendermaßen vor.

Über die USB-Schnittstelle: Die Ploutus-Malware (zuerst entdeckt im Jahr 2014) wurde per USB-Stick auf den ATMs installiert. Hierfür haben sich die Cyber-Kriminellen einen physischen Zugang zum USB-Port durch das ATM-Gehäuse verschafft. Das ist nicht allzu schwierig, denn der Computer ist im Vergleich zu den anderen Komponenten weniger stark geschützt.

Über das Netzwerk: Carbanak war der erste APT-Angriff auf Bankautomaten. Cyber-Kriminelle haben hier die Bankautomaten über das Netzwerk der Bank selbst angegriffen und Malware eingesetzt, um sich Zugriff auf das Geld zu verschaffen.

Zusammenfassung

ATMs sind nichts anderes als normale Windows-PCs, es ist nicht besonders aufwendig Malware für sie zu programmieren. Das Schwierige für Cyber-Kriminelle ist es, ihre Malware auf den ATMs aufzuspielen. Um das zu verhindern, gibt es eine ganze Reihe von grundsätzlichen Schritten, die die Sicherheit von ATMs erhöhen.

  • Sicherheitslösungen, von typischen Anti-Virus-Lösungen hin zu Application Whitelisting.
  • Betriebssystem kontinuierlich auf den neuesten Stand bringen
  • Verschlüsseln von ATM-Festplatten
  • Segmentierung der ATM in andere Netzwerk-Zonen
  • BIOS-Schutz
  • Sichtbar machen, was auf dem ATM und im Netzwerk vor sich geht

Weitere Einblicke in die Thematik ermöglicht die Veranstaltung „Pen Test Berlin“ des SANS Instituts vom 22. bis 27. Juni 2015. Erik van Buggenhout leitet dort den Kurs SEC560: Network Penetration Testing and Ethical Hacking.

* Erik van Buggenhout ist Trainer beim SANS Institut für SEC 560 & 542 und Information Security Consultant bei NVISIO.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43362824 / Schwachstellen-Management)