Geldautomaten-malware vertaald en verbeterd
De malware die onlangs Mexicaanse geldautomaten infecteerde waardoor criminelen via een speciale toetsencombinatie de automaat geldbiljetten konden laten uitgeven, is in het Engels vertaald en van allerlei nieuwe en verbeterde functionaliteiten voorzien.
De malware wordt Ploutus genoemd en is ontwikkeld om de geldautomaat op softwareniveau over te nemen. Om de aanval uit te voeren moeten criminelen eerst fysiek toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart. Deze boot-cd bevat de malware die tijdens het opstarten het besturingssysteem van de geldautomaat infecteert. Daarnaast schakelt de malware ook de eventueel aanwezige virusscanner uit.
Vertaling
Symantec meldt dat het een nieuwe variant van de malware heeft ontdekt. Naast de Engelse vertaling is de nieuwe Ploutus-variant geen losstaand programma meer, maar bestaat het uit een modulaire architectuur. Deze modulaire architectuur bestaat uit drie onderdelen die detectie voorkomen, opdrachten van het toetsenbord van de geldautomaat verwerken en uiteindelijk de "output" verzorgen.
Zo kunnen de criminelen de automaat bankbiljetten laten uitgeven of de configuratie van de automaat laten printen als er een USB-printer is aangesloten. Het feit dat de malware in het Engels is vertaald kan erop duiden dat Ploutus ook in andere landen wordt gebruikt, maar Symantec heeft hiervoor nog geen bewijs gevonden.
- Neem een OS wat niet al te bekend is
- En dat werkende interne scheidingswanden heeft
- Zet alle uitvoerbare bestanden op een alleen-lezen partitie
- Verbied uitvoeren van bestanden van andere partities
- Stel het OS in dat deze (en andere) systeeminstellingen niet uitgezet kunnen worden zonder "single user" herstarten
- Zet een beheerswachtwoord op "single user" herstarten
- Zet er een monitor op die bij iedere start "naar huis belt" met een secure hash van de uitvoerbare partitie en de configuratie
Wordt er gerommeld dan zie je dat gelijk, en dan kun je er iemand langssturen om even te kijken. Tenminste, als ze er niet gewoon met de geldladen vandoorgaan. Maar dat zal wel te moeilijk zijn geweest daar ze met deze software op de proppen zijn gekomen.
Je kan nog zeggen:
- Zet een wachtwoord op het bios en zet booten van cdrom en dergelijke uit
maar het is eigenlijk kinderspel dat te omzeilen.
Wat je eigenlijk moet doen is een eigen BIOS erinflashen wat heel het OS vanuit ROM start -- zoals RISCOS dat deed, en er zijn ook voor x86 wel systemen die klein genoeg zijn -- want dat betekent dat je OS geladen wordt voordat er naar alternatieve opstartmogelijkheden gekeken wordt. Betekent wel dat upgraden meer weg heeft van een systeembord vervangen dan van wat software bij te werken, maar voor deze toepassing zou ik dat acceptabel vinden.
Al bij de eerste stap is bovenstaand programma waardeloos. Daarna is overnemen nog steeds mogelijk, maar wel steeds lastiger. Verder kun je nog rommelen met TPM (als dat geen vervangbare opsteekkaart is) en eventueel secure boot, daar dit toevallig een scenario is waar dat legitiem is. Oh ja, ik heb het niet over "linux", en ook niet over "windows", dat je het even weet.
Maargoed, als de banken serieus waren geweest met beveiliging dan hadden ze die kennis gewoon kunnen inkopen, want ze hebben geld genoeg. Dus concludeer ik dat goeddoordachte beveiliging ze gewoon niet interesseert.
Goed over nagedacht. Beter dan de banken hebben gedaan in ieder geval.
Ik zeg, stuur deze anonieme poster een bitcoin op bovenstaand nummertje !
Is het dan niet logischer als je fysiek toegang hebt om het geld gewoon te stelen, of denk ik te simpel?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
