高级ATM渗透测试方法

  • A+
所属分类:未分类


自动柜员机穿透测试,黑客已经找到了不同的方法来破解ATM机。程序员不会将自己限制为物理攻击,例如,他们正在研究更好的方法来破解ATM编程,比如捕获金钱/卡片,浏览等等。

自动取款机是一种机器,可以让客户在没有前往银行的情况下进行货币兑换。

利用自动提款机,客户可以退回或存储钱,到银行商店或信用账户,支付账单,更换棒,重新设计个人数据等等。由于ATM机管理资金,它已成为程序员和窃贼高度关注的焦点。

在本文中,我们将认识到ATM如何运作,用于保护ATM的安全措施,用于打破ATM安全的各种渗透测试,以及可用于逃避ATM黑客的一部分安全最佳实践。

ATM工作功能:

大多数ATM有2个输入和4个输出。输入读卡器和小键盘,然后输出屏幕,收据打印机,自动提款机和扬声器。

最常见的两种自动取款机的类型根据其工作方式的不同而有所不同。他们可以被称为

1.租用的ATM机

2.拨号式ATM机

任何一台ATM机都需要一台带有两个数据源和四个良品设备的信息终端。很显然,为了实现这一点,应该同样需要主处理器的可访问性。主处理器非常重要,以便ATM可以进一步与要求钱的个人交谈。互联网服务提供商(ISP)额外承担了此项活动的重要部分。他们走的是通往中途系统以及银行PC的通道。

图片来源:HowstuffWorks

租用的ATM机有一个4线的指示点提示电话线,它有助于将它与主处理器相关联。这类机器在客户数量较多的地方受到青睐。他们被认为是最重要的,这类机器的工作费用很高。

拨号式ATM机只有一条带有调制解调器和免费号码的普通电话线。由于这些是典型的协会,它们的基础建设成本较低,其工作成本只是租赁线ATM的一小部分。

主机主要由银行提供,同样也可以由ISP声明,在银行占有这个机会的情况下,只有为该特定银行工作的机器才会得到支持。

那么当一个客户插入他的卡取钱时会发生什么?

客户的记录数据放在位于卡片后面的卡片的吸引人的部分,客户端将卡片嵌入卡片用户中。

读卡器读取卡片详细数据,这张卡上的信息被发送到主机处理器,主机处理器将数据传送到客户的银行。

2.卡片被感知后,请求客户给予该卡片。客户使用键盘输入棒。该棒被编码并发送到主机服务器。记录和棒棒由客户的银行批准。一旦银行批准,主机服务器将反应代码发送到ATM机。

3.客户输入合计退回。请求转到主处理器。主机服务器将交换需求发送到批准总和的客户银行,撤回中断等等。此时,客户银行与主机处理器记录之间发生补贴交换。一旦交换完成,主处理器将认可码发送给允许ATM机管理钱的ATM。

4.在ATM上运行的应用程序教导货币管理钱。货币箱有一个组件,它考虑它离开分配器的所有费用。这种与交换机一样标识的信息如记录号,交易所ID,时间,金额,收费组等等被记录到日志文档中。该日志记录通常称为EJ日志。

5.在管理程序中,传感器扫描每个帐单的厚度。这是为了检查两张钞票是否粘在一起,或者是否有任何钞票被撕裂或折叠。如果两张钞票粘在一起,则它们被占用到拒收容器中。

ATM BPT风格渗透测试

安全专业人员对金融行业的自动取款机(ATM)解决方案进行高级渗透测试。在大多数情况下,ATM配置和相关过程中会发现严重的安全漏洞。

ATM使用我们的“ 业务渗透测试”(BPT)方法进行测试,该方法模拟对ATM解决方案的实际攻击。这包括精心设计的针对性攻击,它结合了物理,逻辑和可选的社会工程攻击媒介。

IT安全管理人员经常将ATM安全性视为一个复杂的领域,他们倾向于更多地关注物理风险,更少关注操作系统和应用层的逻辑弱点。

同时,ATM安全是一个经常缺乏整体安全评估的业务领域。我们的ATM测试基于这种信念,并试图绘制一幅关于您的ATM环境的全景图。

物理控制

许多银行在很大程度上依赖于他们的ATM解决方案的物理访问受到有效限制的假设。同时重复说明,通常需要付出很少的努力才能获得未授权访问控制用户界面和交易设备的ATM CPU。

逻辑控制

通过物理访问ATM CPU,可以绕过认证机制以获得对ATM平台的未授权访问。

有了这种访问权限,攻击者可能会窃取存储在文件系统或内存中的信用卡数据,而无需提醒银行。此外,能够证明这一点的专家认为,这种未经授权的访问可以通过使用受到威胁的ATM作为攻击平台从ATM扩展到银行的网络和后端服务器。

与第三方服务提供商和应用程序开发供应商相关的ATM解决方案管理流程通常是攻击者的金钥匙,并且可以包含在我们的测试范围内,以确定攻击者可以利用的妥协ATM的信任关系中的逻辑弱点。

ATM生态系统

ATM解决方案和网络组成一个复杂的生态系统,由不同的供应商和负责的代理商组成,无论是银行组织内部还是外部。

由于这个生态系统的复杂性以及跨越组织边界的分布式角色和责任,与安全风险相关的领域往往被忽视。ATM应用程序本身及其软件更新,操作系统补丁,平台强化和网络通常容易受到攻击。

这些攻击不一定很复杂,并且通常不包括在标准渗透测试中。

PCI DSS

ATM环境也是PCI DSS范围的一部分。但是,真正的生活黑客攻击只有一部分完全覆盖PCI DSS和PA-DSS。PCI SSC于2013年1月发布了“ATM安全指南”信息补充文件。

ATM穿透测试

在ATM穿透测试中,随着ATM机数量的增加,机器很容易受到黑客攻击,抢劫,欺诈等。大多数ATM仍在使用Windows XP,这使得ATM成为黑客的轻松目标。

电子资金转账有三个组成部分,即通信链路,计算机和终端(ATM)。所有这三个组件都必须安全以避免受到攻击。我们将研究我们可以执行的评估ATM的整体安全性的评估类型。

1.漏洞评估和网络渗透测试

VAPT是两种类型的漏洞测试。这些测试具有不同的优势,通常会进行组合以实现完整的漏洞分析。简而言之,渗透测试和漏洞评估在同一重点领域内执行两种不同的任务,通常具有不同的结果。

漏洞评估工具发现存在哪些漏洞,但是它们没有区分可以被利用来造成损害的漏洞和那些不能利用的漏洞。漏洞扫描程序提醒公司注意其代码中存在的缺陷以及它们所在的位置。

这两项活动在处理ATM安全时非常普遍。在网络渗透测试中,我们检查ATM中的网络级漏洞。由于ATM与后端服务器通信,它必须是某个网络的一部分。通过获取ATM的IP地址,我们可以执行网络级渗透测试。

作为安全最佳实践,ATM网络与银行的另一个网络隔离开来。所以测试人员必须成为ATM网络的一部分才能到达ATM IP并执行测试。一旦进入ATM网络,我们可以执行Nessus扫描来识别开放端口,运行在其上的服务以及与正在运行的服务相关的漏洞。

我们可以运行全端口NMAP扫描来识别ATM上运行的TCP和UDP端口和服务。此外,Nessus认证扫描可用于识别ATM操作系统中安装的组件(如Adobe,Internet Explorer等)相关的漏洞。

配置审计涉及操作系统的强化。大多数ATM运行Windows操作系统。必须根据安全最佳实践加强此操作系统,以减少攻击者的攻击面。我们在进行配置审计时可以考虑的一些领域是:

  • 系统访问和验证:与密码和帐户锁定策略,用户权限策略等相关的检查
  • 审计和日志记录:检查事件,应用程序和安全日志,审计策略,事件日志的权限。
  • 账户配置:与管理员组下的用户相关的检查,默认用户的存在,访客账户,密码要求和到期日期。

2.应用安全审计:

应用程序安全审计是对应用程序及其相关组件进行密集的,技术的,非特权和特权的安全测试,并且具有高比例的手动测试和验证。由于非特权和特权测试将被执行,所以外部人员(例如黑客)和内部人员的角度都被涵盖。

我们可以将此活动分为两类:

a.胖客户端应用程序渗透测试:大多数ATM应用程序都是一个胖客户端。我们可以对这个胖客户端应用程序执行应用程序渗透测试。我们可以执行的一些测试用例是:

  • 应用程序配置文件中的敏感信息,注册表中的凭据以及代码中硬编码的敏感信息。
  • 拦截流向服务器的流量并尝试操纵/篡改参数或查找应用程序和服务器之间传递的任何敏感信息。
  • 检查应用程序和数据库是否使用明文协议进行通信。
  • 防止逆向工程。

b.应用程序设计评审:在此活动中,我们可以检查应用程序中所遵循的安全实践。一些测试案例可以是:

  • 记录到日志文件的事件类型。
  • ATM应用程序运行的特权。
  • 该软件是否提供了根据用户级别将不同的菜单选项限制到不同的用户ID?
  • 访问应用程序相关文件夹。
  • 应用程序是否允许在没有销或旧销的情况下进行交易?
  • 应用程序允许在运行时访问操作系统吗?
  • 与后端组件的通信。
  • 检查有效的网络隔离。
  • 即使只有一个无效的引脚,也可以注销客户?
  • 每项交易的PIN码是强制性的?

ATM中安装的ATM安全解决方案的评估:

什么是ATM安全解决方案?

大多数ATM在Windows XP和7上运行。修补单个ATM是一个相当复杂的过程。由于Microsoft不再支持Windows XP,许多ATM供应商使用安全解决方案来缓解与ATM攻击相关的威胁,例如基于恶意软件的攻击和操作系统级漏洞。这些安全解决方案允许ATM应用程序在非常严格的环境中运行,并在后端有限的服务和流程中运行。其中两种安全解决方案是Mcafee Solidcore和Phoenix Vista ATM。

迈克菲Solidcore:

McAfee Application Control可在服务器,公司桌面和固定功能设备上阻止未经授权的可执行程序。通过使用动态信任模型和创新的安全功能,如本地和全球声誉智能,实时行为分析和端点自动免疫,它可以立即阻止高级持续性威胁 - 无需劳动力密集型列表管理或签名更新。

  • 覆盖可执行文件,库,驱动程序,Java应用程序,ActiveX控件,脚本和专业代码,从而完全防范不受欢迎的应用程序。
  • 桌面用户和服务器管理员可以灵活地进行自我批准和基于应用评级的自动批准。
  • 适用于固定功能,传统和现代系统的可靠安全性。
  • 补丁周期缩短和高级内存保护。
  • 通过McAfee ePolicy Orchestrator进行集中管理。

Phoenix Vista ATM:

Phoenix Vista ATM是凤凰互动设计公司的产品。该解决方案与ATM应用程序本身集成。此应用程序适用于文件完整性检查,其中任何修改/篡改应用程序相关的关键文件都会导致系统关闭。这不允许任何未经授权的程序修改应用程序特定文件。

XFS(eXtensions for Financial Services)为Microsoft Windows平台上的财务应用程序提供客户端 - 服务器架构,尤其是金融行业特有的外围设备,如ATM。它是由欧洲标准化委员会(由CEN,因此称为CEN / XFS)所宣传的国际标准。XFS提供了一个通用的API来访问和操作各种金融服务设备,而不管制造商。

Vista ATM与XFS层进行通信,XFS层向ATM的自动提款机等硬件提供命令以分配现金。对XFS文件进行任何未经授权的修改都会触发Vista ATM应用程序强行重启机器。机器重新启动4-5次,然后进入维护模式,不允许用户执行任何事务。

Pentesting安全解决方案:PCI标准

在ATM中测试安全解决方案的方法依然如此。最终目标是获得对操作系统的访问权限,或者查找与应用程序相关的文件以查看应用程序的行为。获得操作系统访问权限后,攻击者可以创建恶意软件,该恶意软件可以使用XFS组件向系统硬件发出命令。

一些可以考虑的测试案例是:

与访问操作系统和相关文件相关的测试案例:

  1. 检查USB是否启用,使您的USB可启动。
  2. 插入USB并通过USB启动系统。
  3. 由于大多数安全解决方案在启动时立即接管操作系统,因此请在启动时按住“Shift”按钮。这将破坏配置为在OS中引导时运行的任何序列。这将导致Windows登录屏幕。
  4. 如果您知道有效的用户名,请输入该用户名并按下“Enter”按钮。这将导致无需密码直接访问操作系统。
  5. 如果您不知道有效的用户名,请尝试使用“Administrator”登录,因为许多ATM不禁用默认管理员帐户。
  6. 另一种方法是让你的USB启动。从USB引导,这将直接访问文件系统,而无需任何Windows登录。
  1. 与运行时代码授权相关的测试:检查USB是否启用,尝试直接从USB运行未授权代码(exe或批处理文件)或使用USB的自动运行功能。
  2. 与代码保护相关的测试:检查与应用程序相关的文件是否可以移动到其他位置,修改或删除。
  3. 与流程修改相关的检查:将未授权文件重命名为有效的安全解决方案流程。这将导致在应用程序启动时执行未经授权的文件。
  4. 与通过注册表进行的未经授权的执行相关的威胁:检查是否可以修改任何关键的注册表项,或通过将未授权的软件保留在Windows启动文件夹中来执行。在Windows启动文件夹下的可执行文件将在系统重新启动时首先执行。

    ATM应遵循的安全最佳实践

    银行可以实施安全最佳实践,以减少攻击者的攻击面。这部分可以分为三类:

  5. 防止物理攻击:
  • 检测和防止卡片窃取。
  • 检测和防止卡/现金陷阱。
  • 检测键盘篡改。
  • 镜和针屏蔽以识别和防止肩上冲浪攻击。
  • 在自动柜员机中内置DVSS摄像机,以捕捉用户的面部特征以及交易详情和时间戳。
  • 避免火灾,爆炸等。
  • 锁定保护再次未经授权访问钞票或账单。
  • 电力点和网络点保护。
  • 禁用未使用的网络和电气端口。
  • ATM必须在地板上灌浆以防止与抢劫相关的威胁。ATM可以通过震动传感器来识别ATM机的影响和移动。
  • 实施闭路电视摄像机。保安的存在。

 6。防止逻辑攻击:

  • 通过设置不可猜测的启动和BIOS密码来防止未经授权的启动。大多数ATM具有配置的默认引导密码。
  • 防止USB和未经授权的硬盘访问。
  • OS加固和最新补丁。
  • 将ATM上的应用程序,服务和流程列入白名单。
  • 以最少特权用户运行ATM。需要知道并需要有办法。
  • 文件完整性检查。
  • 保护交易日志。
  • 使用安全通道进行通信和交易。
  • 配置ATM应用程序中的安全最佳实践。
  • 防病毒保护。
  • ATM网络与其他网络隔离。
  • 防止恶意软件如tyupkin,ploutus等

7。防范欺诈攻击:

  • 实施地理封锁。在此实施中,卡只能用于原始国家或地区。用户必须获得在原籍国以外使用该卡的许可。
  • 基于芯片和引脚的卡的实施,以减轻复制和略读卡的攻击。
  • 根据金额,交易地点,交易频率等实施检测异常交易的行为指导。

参考来源:

HTTPS://www.pcisecuritystandards/pdfs/PCI_ATM_Security_Guidelines_Info_Supplement.pdf

http://money.howstuffworks.com/personal-finance/debt-management/credit-card.htm

http://money.howstuffworks.com/personal-finance/banking/atm3.htm

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: