揭秘:恶意软件是如何操纵ATM机的

作者 Rabbit_Run

卡巴斯基实验的全球研究和分析团队对东欧一起针对多款ATM机的网络犯罪进行了取证调查。调查过程中,该团队发现了一款新型的恶意软件Tyupkin,该恶意软件使用了控制活动时段和会话密钥等技术来躲避检测。而且该软件一直在不断演化发展种。同时,该恶意软件从一个侧面揭示了网络犯罪对金融行业的威胁的变化趋势。

ATM机的大致构造(费老大劲找的,主要为了科普)

一、起源

今年年初,受一家金融机构的委托,卡巴斯基实验的全球研究和分析团队对东欧一起针对多款ATM机的网络犯罪进行了取证调查。在调查过程中,我们发现一款恶意软件能够让攻击者直接操纵ATM机来掏空ATM机的现金箱。

在调查的时候,该恶意软件活跃在东欧银行机构所属的超过50个ATM机上。根据提交到VirusTotal的数据,我们相信该恶意软件已经传播到其他几个国家,包括美国、印度和中国。

因为该恶意软件所感染设备的性质,我们没有卡巴斯基安全网络(KSN)的数据来确定感染范围。然而,基于VirusTotal的统计数据,我们可以看到以下国家提交过该恶意软件的样本。

由卡巴斯基实验检测到的新款恶意软件Backdoor.MSIL.Tyupkin,影响一个重要ATM制造商生产的并运行着微软Windows 32位操作系统的ATM机。

该恶意软件运用了几项狡猾的技术来逃避检测。首先,它只在晚间某个特定时间出于激活状态。再者,它为每个会话分配一个会话密钥,该密钥是基于随机种子生成的。只有知道会话密钥,攻击者才能和受感染的ATM进行交互。

当密钥被正确的输入后,该恶意软件会显示每个现金箱中有多少现金可用,并允许攻击者直接操作ATM从选定的现金箱中取出40张钞票。(还不是涸泽而渔,想细水长流啊)。

大部分的分析样本是在2014年3月编译的。然而,该恶意软件已经发展演化了一段时间。在最近的变种中(版本d),该恶意软件实现了反调试(anti-debugging)和抗仿真(anti-emulation)技术,并使受感染的系统上禁用McAfee Solidcore。

二、分析ATM攻击

根据位于受感染ATM机的安全摄影机所记录的影像,攻击者能够操作ATM机并通过可引导光盘来安装恶意软件。

攻击者拷贝下列文件到ATM机中:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

经过环境的检测之后,该恶意软件移除.lnk文件,并在注册表中创建一个键:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AptraDebug" = "C:\Windows\system32\ulssm.exe"

然后,该恶意软件就能通过标准库MSXFS.dll(金融服务扩展,XFS)与ATM机进行交互了。

这个恶意软件运行一个无限循环来等待用户的输入。为了更加难以被检测,Tyupkin默认情况下只在周日和周一的晚上接受命令。它接受以下命令:

XXXXXX – Shows the main window.(显示主窗口)
XXXXXX – Self deletes with a batch file.(通过batch文件进行自删除)
XXXXXX – Increases the malware activity period.(增加恶意软件的活跃时段)
XXXXXX – Hides the main window.(隐藏主窗口)

输入命令之后,操作者必须按下ATM机键盘上的回车键。Tyupkin使用会话密钥来防止其他用户误打误撞参透玄机。在输入“Shows themain window”命令之后,该恶意软件显示信息“"ENTER SESSION KEY TOPROCEED!”(输入会话密钥后继续)。

该恶意软件的操作者必须了解算法并根据所显示的种子来生成一个会话密钥。只有当密钥被正确的输入,攻击者才可以与受感染的ATM机进行交互。然后,该恶意软件显示以下信息:

CASH OPERATIONPERMITTED.(允许的现金操作)
TO START DISPENSE OPERATION -(开始取款操作)
ENTER CASSETTE NUMBER AND PRESS ENTER.(输入现金箱的编号并按回车)

当操作选择了现金箱的编号之后,ATM机会吐出40张钞票。当输入的会话密钥不正确时,该恶意软件禁用本地网络并显示消息:

DISABLING LOCALAREA NETWORK...(禁用本地网络)
PLEASE WAIT...(请等待)

我们并不清楚恶意软件为什么要禁用本地网络,可能为了延迟或干扰远程调查。

三、调查结论

近些年来,我们留意到使用分离设备和恶意软件攻击ATM机的事件呈现大幅上升趋势。解读全世界有关分离器劫持金融数据的报告,我们也见证了一个全球性的执法行动,逮捕并起诉了一批网络犯罪分子。

众所周知,当消费者把卡插入到银行或加油站的ATM机上时,犯罪分子能够利用分离器窃取消费者的信用卡和借记卡数据。此事也引起了人们增强了人们的安全意识并提醒人们在使用公共ATM时要采取一定的防范措施。

目前,我们注意到网络犯罪所带来的威胁沿着金融链条逐渐向上演变并把枪口直接瞄向了金融机构。具体表现在通过直接地感染ATM机或直接地针对银行实施APT攻击。Tyupkin恶意软件就是其中的一个典型案例,攻击者顺势而上并开始寻找ATM基础设施的弱点。

事实上,大量的ATM机运行着存在已知缺陷的操作系统并缺乏相应的安全解决方案。这是另一个亟需解决的问题。

四、安全建议

我们建议部署ATM机的金融机构和公司考虑以下的安全建议:

① 审查ATM机的物理安全,考虑购买高质量的安全解决方案。

② 更改所有的ATM机默认的上池锁(upper pool lock)和密钥。避免使用供应商提供的默认主密钥。

③ 安装并确保ATM安全警报能够正常工作。

④ 关于如何验证您的ATM机是否被感染的说明,请通过intelreports@kaspersky.com联系我们。对于如何全面扫描ATM系统并删除这个恶意软件,请使用免费的卡巴斯基病毒删除工具(下载地址)

五、对于部署ATM操作员的一般建议

① 确保ATM机处于一个被安全摄像机所监控的开放的、视野开阔的环境中。ATM机应该被安全地固定在地板上,并安装一个防套索装置来威慑犯罪分子。

② 经常检查ATM机是否添加了第三方设备(分离器)。

③ 警惕犯罪分子发起的社工攻击,伪装成检查员或安全报警、安全摄像机以及部署的其他设备。

④ 认真对待入侵警报,向执法部门报告任何潜在的违法犯罪活动;

⑤ 考虑给ATM添加仅够一天活动所需的现金;

⑥ 对于商家和用户的更多建议请参考:链接

[参考信息来源 卡巴斯基实验室,内容有所删减,尽量保留了原文本意。译自Rabbit_Run,喜欢文章请点赞鼓励。转载请注明来自FreeBuf.COM]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-10-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Linux XOR DDoS僵尸网络发起强有力的DDoS攻击

Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和...

38850
来自专栏域名资讯

上市企业4位数秒下的域名 如今9.9万元出售

据说*ST华泽(000693,SZ)其账上只剩下178元,官网因付不起运营费而遭到停摆,官网域名正被转卖。今1月21日,已被这名现持有人重新注册,正...

40760
来自专栏SDNLAB

Software-Defined Perimeter依旧保持不败战绩

4月份我们曾报道过云安全联盟推出的接入控制协议 software-defined perimeter (SDP) ,当时云安全联盟宣称只要能够入侵CIA前任特工...

37550
来自专栏金融民工小曾

一文读懂银联如何转接微信支付宝

今天看到有媒体报道,银联与蚂蚁金服将达成合作,支付宝将在条码支付业务上接入银联网络,由银联提供转接清算业务。而微信早在4月初就已经正式与银联达成合作。至此,微信...

14420
来自专栏FreeBuf

近期曝光的针对银行SWIFT系统攻击事件综合分析

概述 2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被...

30570
来自专栏腾讯云安全的专栏

Petya 勒索病毒来袭,腾讯云用户安全指引

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。腾讯云联合腾讯电脑管家发现相关样本在国内...

35800
来自专栏FreeBuf

专家预测第二波WannaCry攻击即将到来!

WannaCry的传播脚步今晨戛然而止 今天一大早,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,...

26150
来自专栏Petrichor的专栏

如何自己组装电脑(从配件到整机)来省下一大笔钱

  因为 组装机和成品机有着一样的性能,却可以省下三分之一的高昂费用 。打个比方,一台组装好的成品主机售价6K,那么它的实际组装成本只要4K。如果选择自己组装,...

1.4K20
来自专栏安恒信息

马航MH370遭黑客盗用,2万网友遇袭

马航MH370客机失联已近两个星期,就在人们牵挂失联航班最新进展的时候,社交网络上却有不法分子利用马航事件发起盗号攻击。根据多家网络安全厂商监 测,病...

28090
来自专栏安恒信息

央视曝“盗信僵尸”病毒

近日,手机支付类病毒成为媒体和广大手机用户关注焦点。3月25日,央视新闻报道了用户因玩手机游戏而遭遇“盗信僵尸”的手机支付病毒,被窃取了手机话...

27750

扫码关注云+社区

领取腾讯云代金券