6 replies to this topic

[PaulaAbdul]

Bankautomaten per USB-Stick übernommen


Zwei nicht namentlich genannte Sicherheitsforscher haben auf dem 30. Chaos Communication Congress (30C3) letzte Woche die Ergebnisse ihrer Untersuchung von Schadcode für Bankautomaten

Please Login HERE or Register HERE to see this link!

. Dass Ganoven Geldautomaten mit Malware infizieren, ist zwar nicht neu, der von den Forschern analysierte Code ist allerdings außergewöhnlich komplex und enthält einige neue Funktionen, die vorher so noch nicht in freier Wildbahn beobachtet wurden.




Benutzerinterface der Malware in einer Emulationsumgebung der Forscher



Vier-Augen-Prinzip

Unter anderem benutzt der Code eine Challenge-Response-Abfrage, die es den Hintermännern offenbar erlaubt, genau zu kontrollieren, wer auf dem kompromittierten Automaten Geld abheben kann. Ist ein Automat gehackt, kommt man mit einem 12-stelligen Code in ein spezielles Benutzerinterface, welches genau anzeigt wie viele Scheine welchen Nennwertes in dem zum Automaten gehörenden Safe lagern. Will ein Ganove das Geld abheben, bekommt er einen Code genannt und muss diesen an einen der Hintermänner telefonisch durchgeben. Nur mit dem entsprechenden Antwort-Code von der Gegenseite kommt er an das Geld heran.

Die Malware enthält außerdem eine Kopie des Sysinternal-Tools sdelete, mit der sich bei Bedarf alle Spuren der Infektion vom Automaten entfernen lassen. Auch um diese Löschung vorzunehmen muss eine Challenge-Response-Authentifizierung durchgeführt werden. Weitere Funktionen erlauben es, die Netzwerkadapter des Geldautomaten ab- und wieder anzuschalten.

Bei ihren Nachforschungen entdeckten die Sicherheitsforscher, dass die Malware für jeden einzelnen Geldautomaten maßgeschneidert ist. Die DLL mit dem Exploit-Code wird demnach mit dem Volume-Serial der Festplatte des Geldautomaten verschlüsselt. Diese Identifikationsnummer wird bei der Formatierung der Festplatte erzeugt. Warum die Programmierer der Malware dies so gelöst haben, ist unbekannt. Die Forscher spekulieren, dass die Ganoven eventuell einen Insider in der betroffenen, nicht näher benannten Bank oder beim Hersteller der Automaten haben. Dafür würde auch die intime Kenntnisse der Automaten sprechen, die laut ihren Untersuchen nötig war um den Schadcode so spezifisch an die Bankautomaten anzupassen.



Logfile der Malware bei der Arbeit


Hack per USB-Stick

Die Täter schnitten ein Loch in die Plastikverkleidung des mit Windows XP laufenden Automaten, um einen USB-Stick anschließen zu können. Auf dem Stick befand sich eine Version von Hiren's BootCD, die automatisch gebootet wurde, wenn der Automat neu startet. Um dies zu erzwingen trennten die Ganoven ihn wahrscheinlich kurzzeitig vom Strom. Die Boot-CD kopiert beim Start Daten von der Festplatte des Automaten ??“ hierzu gehören unter anderem Kreditkartendaten und Transaktionsinformationen ??“ und führt dann ein hack.bat genanntes Script aus. Dies installiert die Malware DLL und baut sie so in die den Windows Bootprozess ein, dass sie bei jedem Systemstart mit ausgeführt wird.

Der Code fängt danach alle Tasteneingaben ab und wird bei Eingabe des 12-stelligen Codes aktiv. Nun startet ein zweiter Windows-Desktop der die eigentlichen Geldautomatenfunktionen überlagert und das spezielle Interface zum Abheben des Geldes anzeigt. Wird der Automat für drei Minuten nicht benutzt ??“ etwa weil der Ganove türmen musste ??“ kehrt der Automat wieder in die normale Benutzeroberfläche zurück.


In flagranti erwischt

Eine Bank kam den Kriminellen auf die Schliche, weil immer wieder Geld aus den Tresoren der Automaten verschwand. Dank zusätzlicher Überwachungstechnik konnte ein Täter bei der Entnahme einer großen Geldmenge verhaftet werden. Auf einem an seinem Körper sichergestellten USB-Stick befand sich eine Kopie der Malware, deren Code Sicherheitsforscher dekompilieren konnten.

Laut den Forschern zeigten die Log-Dateien auf dem USB-Stick, dass dieser dazu benutzt wurde mindestens vier verschiedene Automaten zu übernehmen. Das Benutzerinterface der Malware war mit einer eindeutigen Bezeichnung für den Schadcode versehen, inklusive Versionsnummer. Im Rahmen ihrer Untersuchungen konnten sie später verfolgen, wie die Software auf infizierten Geldautomaten immer weiter verfeinert und verbessert wurde.


http://www.youtube.com/watch?v=0c08EYv4N5A
Der Vortrag der Forscher beim 30C3 in Hamburg

Please Login HERE or Register HERE to see this link!

[White-Warti]

@Paula wo bleibt der Download ??? (-:

[Anne Frank]

Was soll man anderes sagen, als:
Wer Windows verwendet ist selber schuld .png' class='bbc_emoticon' alt='xD' />

[Imperial]

Ich war sogar bei der Präsentation vom 30C3 Congress.
Da wurde das ausführlich erklärt .png' class='bbc_emoticon' alt='^^' />

War sehr interessant

[Lorino]

Sind solche treffen eigentlich ausschließlich auf english???
Also die hacker treffen in DE, in den USA ist es klar das die auf EN sin

[xcode4]

will source code haben !!!!!!!!

[Xenio]

Sind solche treffen eigentlich ausschließlich auf english???
Also die hacker treffen in DE, in den USA ist es klar das die auf EN sin

Ja. Der Grund ist einfach: Es kommen Hacker und Sysadmins aus der ganzen Welt,
die ihre Hacks und Vorträge in einer Sprache vortragen, die eigentlich jeder versteht.
Also bei der Grösse des 30C3 Congress, ist es also kein Wunder und DE = Hackerland

MfG Xenio