CCC-TV - Electronic Bank Robberies
dimanche 23 mars 2014 à 18:28 jeekajoo, le 23/03/2014 à 18:28
2 chercheurs en sécurité informatique ont fait de la rétro-ingénierie sur un malware qui permet de vider l'argent de certains ATM.
Effacer ses traces (supprimer le malware et toutes les évidences) fait normalement partie de leur mode de fonctionnement, sauf que là le mec a été pris la "main dans le sac" alors qu'il retirait l'argent.
Les hackers ont le plus souvent procédés en 2 étapes: infection de la machine puis "jackpotting" (action de récupérer tout l'argent).
Quelques faits interessants en vrac:
- coup de cutter dans le chassis (plastique) pour atteindre le port usb
- brancher une clé usb qui contient le malware
- autorun exécute un exe qui va charger des DLL malicieuses
- persistence (en cas de reboot), le malware fait en sorte que les DLL malicieuses soit chargées à chaque démarrage d'une application grâce à la clé de registre AppInit_DLL.
- le code est obfusqué de partout et est rendu intentionnellement complexe (code spaghetti) pour rendre le reverse engineering difficile (voire impossible car trop long)
- l'ensemble des ressources utilisées par le malware sont chiffrées avec une clé qui est dans le code. Il faut donc de toute façon décompiler le code.
- toujours à propos du code. on peut voir que celui-ci a suivi un cycle de développement. la version du malware étudiée était la 1.5.0.1
- une fois l'atm infecté, on peut activer le malware en tapant un code de 12 chiffres (000507607999) avec le clavier numérique.
- en plus de ce code de 12 chiffres, ils ont implémenté un "challenge response" pour éviter que des personnes puissent vider l'ATM à leur place. c'est un peu le même principe que les questions secrètes qu'on a sur certains sites pour retrouver son mot de passe. sauf que là cela fonctionne avec un téléphone. la machine présente un code de 6 caractères, le mec donne un coup de fil à son pote qui lui donne un code en retour. disons que c'est une sorte de keygen par téléphone.
- à partir de l'écran caché,
* on peut voir le nombre de billets et la somme totale qu'on peut récupérer.
* récupérer l'argent
* désactiver/activer les interfaces réseaux
* supprimer toutes ses traces
- à propos du gang:
* très organisé, plusieurs rôles
* ils se font un blé monstre
* sérieuses connaissances dans les ATM (matériel / logiciel utilisé): ils ont, soit quelqu'un qui travaille dans le domaine, soit récupéré un ATM sur lequel ils ont pu faire un travail de reverse engineering
Pour finir, si vous vous apercevez qu'un ATM est infecté par ce malware , vous pouvez rentrer ce code 000507607999000753951000 pour désinstaller le malware... Véridique, sauf que vous feriez mieux de fuire à la place.
(Permalink)
2 chercheurs en sécurité informatique ont fait de la rétro-ingénierie sur un malware qui permet de vider l'argent de certains ATM.
Effacer ses traces (supprimer le malware et toutes les évidences) fait normalement partie de leur mode de fonctionnement, sauf que là le mec a été pris la "main dans le sac" alors qu'il retirait l'argent.
Les hackers ont le plus souvent procédés en 2 étapes: infection de la machine puis "jackpotting" (action de récupérer tout l'argent).
Quelques faits interessants en vrac:
- coup de cutter dans le chassis (plastique) pour atteindre le port usb
- brancher une clé usb qui contient le malware
- autorun exécute un exe qui va charger des DLL malicieuses
- persistence (en cas de reboot), le malware fait en sorte que les DLL malicieuses soit chargées à chaque démarrage d'une application grâce à la clé de registre AppInit_DLL.
- le code est obfusqué de partout et est rendu intentionnellement complexe (code spaghetti) pour rendre le reverse engineering difficile (voire impossible car trop long)
- l'ensemble des ressources utilisées par le malware sont chiffrées avec une clé qui est dans le code. Il faut donc de toute façon décompiler le code.
- toujours à propos du code. on peut voir que celui-ci a suivi un cycle de développement. la version du malware étudiée était la 1.5.0.1
- une fois l'atm infecté, on peut activer le malware en tapant un code de 12 chiffres (000507607999) avec le clavier numérique.
- en plus de ce code de 12 chiffres, ils ont implémenté un "challenge response" pour éviter que des personnes puissent vider l'ATM à leur place. c'est un peu le même principe que les questions secrètes qu'on a sur certains sites pour retrouver son mot de passe. sauf que là cela fonctionne avec un téléphone. la machine présente un code de 6 caractères, le mec donne un coup de fil à son pote qui lui donne un code en retour. disons que c'est une sorte de keygen par téléphone.
- à partir de l'écran caché,
* on peut voir le nombre de billets et la somme totale qu'on peut récupérer.
* récupérer l'argent
* désactiver/activer les interfaces réseaux
* supprimer toutes ses traces
- à propos du gang:
* très organisé, plusieurs rôles
* ils se font un blé monstre
* sérieuses connaissances dans les ATM (matériel / logiciel utilisé): ils ont, soit quelqu'un qui travaille dans le domaine, soit récupéré un ATM sur lequel ils ont pu faire un travail de reverse engineering
Pour finir, si vous vous apercevez qu'un ATM est infecté par ce malware , vous pouvez rentrer ce code 000507607999000753951000 pour désinstaller le malware... Véridique, sauf que vous feriez mieux de fuire à la place.
(Permalink)