天创培训:您身边的信息安全培训专家!
行业动态
清空购物车不可怕,黑客想清空 ATM 机:来,乖乖吐钱

  清空购物车不可怕,黑客想清空 ATM 机:来,乖乖吐钱

  能力越大,作恶后果就越可怕。

  雷锋网说的当然不是爱剁手的女人,而是比清空购物车更可怕的清空 ATM 机。

  两年前,卡巴斯基发现了一款新型恶意软件,可直接从 ATM 机上盗取资金,至少有 140 家银行和企业的网络被此类恶意软件感染。遭遇攻击的银行和企业分属 40个不同国家,其中,美国、法国、肯尼亚、厄瓜多尔、英国的大兄弟受到的攻击最严重。

  这种恶意软件有个牛气哄哄的背景:它从复杂的计算机蠕虫病毒 Stuxnet 衍生而来,之前,这个软件是由美国和以色列开发,用来攻击伊朗的核设施。

  万万没想到,攻击核设施的恶意软件还能用来搞垮 ATM,黑客为了挣钱,条条大路通罗马。黑客还挺狡猾,使用了常见的系统管理软件和安全软件伪装这款恶意软件,大大降低了它被发现的几率。

  美国时间 10 月 11 日,外媒又报道,上次揪出了伪装的 ATM 恶意软件,这次卡巴斯基又发现了一个新恶意软件,还给它取了个名字叫“ATMii”。意思很明白了:ATM 2.0 版本!

  “ATMii”是个什么鬼

  不过,卡巴斯基把这个发现捂在手里大半年才被媒体报道出来。

  今年 4 月,卡巴斯基就发现了 ATMii 恶意软件,它会执行两个模块:注射器模块(exe.exe)和要注入的模块(dll.dll),从而从目标机器中偷钱。

  这个恶意软件的安装很简单:直接物理访问或网络访问目标 ATM,安装恶意代码。

  卡巴斯基拿到这个恶意软件的样本后进行了分析: 注入器是不受保护的命令行应用程序,以 Visual C 语言编写,还在上面搞了个四年前的假编译时间戳混淆视听。恶意代码适用于 Windows XP 以及更高版本的系统,而这些正是大部分 ATM 的运行系统。

  同行相轻,黑客界也不例外。

  卡巴斯基的研究员一边分析一边吐槽: 针对 atmapp.exe(专有ATM软件)进程的注入器写得相当烂,因为它取决于几个参数。如果没有给出来,应用程序就会捕获异常。

  下面就是可能只有安全人员才看得懂的 blabla了:

  支持的参数包括:

  / load,它试图将dll.dll注入atmapp.exe。

  / cmd,它创建或更新C:\ ATM \ c.ini文件,将命令和参数传递给受感染的库。

  / unload,它尝试从atmapp.exeprocess卸载注入的库,同时恢复其状态。

  可用的命令允许分配所需数量的现金,检索有关ATM现金卡的信息,并从ATM中完全删除C:\ ATM \ c.ini文件。

  注入DllMain函数后,dll.dll 库加载 msxfs.dll,并使用函数mWFSGetInfo替换WFSGetInfofunction。

  注入的模块尝试找到 ATM 的 CASH_UNIT 服务 ID 并存储结果。

  如果成功,所有连续的调用将重定向到mWFSGetInfofunction,该函数从C:\ ATM \ c.inifile中解析并执行命令。

  卡巴斯基的研究人员提出了两个措施:默认拒绝和设备控制。

  第一个措施可以防止黑客在 ATM 的内部 PC 上运行自己的代码,而第二个措施将阻止黑客连接新的设备,比如 U 盘。

  让 ATM 吐钱其实很简单

  这句话绝对不是雷锋网 (公众号:雷锋网) 宅客频道(微信公众号:letshome)瞎编的,但请注意,这是有水平的黑客自己说的。

  事实上,今年9月,卡巴斯基还曝光了一款ATM 恶意软件“ATMitch”,这个恶意软件可让攻击者非法取款,然后可自行删除记录。

  ATMitch 恶意软件攻击的第一阶段需要获取银行系统的访问权限,然后使用开源或其他公开可用的公用程序来控制系统以及攻击其他 ATM 。由于它在内存中运行,这种无文件恶意软件会在受感染系统重启后消失。

  早在 2016年,卡巴斯基实验室渗透测试专家就在题为《采用恶意软件(和非恶意软件)方式攻破ATM机》的演讲中,深度剖析了 ATM 机易受攻击的原因。

  卡巴斯基给出的原因不多不少,有七条:

  1.ATM 机本质是一台电脑。就算装了工业控制器,在 ATM 机系统里说了算的还是传统的 PC 电脑。

  2.在 2016年的演示中,卡巴斯基称,演示的那台 PC 电脑有很大可能是由非常老旧的操作系统所控制,例如:Windows XP。由于微软不再提供技术支持,所有零日漏洞将永久存在且没有任何补丁修复。不少黑客对雷锋网表示: 就算微软常常发补丁,大家打补丁的速度还是跟不上,尤其是工控设备,一次更新你以为闹着玩哦!

  上述也提到,ATMii 针对的还是Windows XP 和更高版本的系统。

  3.ATM 机里运行了很多有漏洞的软件。系统有漏洞还不算,安装的软件继续补刀。

  4.卡巴斯基称,ATM 机生产商似乎一厢情愿地认为 ATM 机 总是”正常工作”,且永远不会出错。因此,没有任何软件的完整性控制,也未安装任何反病毒解决方案,更不用提对向自动提款机发送命令的应用程序的安全认证。

  5.安全人员吐槽:ATM 机看上去做得那么坚固,用的材料也是极好的,但为什么 ATM 机的电脑外壳却是由塑料造的?最好的也只有薄金属保护,这个锁就更简单了,这不是轻易让人就能破掉吗?

  6.ATM 会与处理中心联网。

  7.ATM 机模组通常连有各种标准接口,比如,COM和USB端口。有时这些接口就按在机柜外部,任何人都能轻松访问。即使未按在外部,犯罪分子也能想出各种办法连接这些端口。