清空購物車不可怕,黑客想清空ATM機:來,乖乖吐錢

玄學醬發表於2017-10-27
原文網址 : https://flycode.co/archives/125047
黑客

能力越大,作惡後果就越可怕。

雷鋒網說的當然不是愛剁手的女人,而是比清空購物車更可怕的清空 ATM 機。

兩年前,卡巴斯基發現了一款新型惡意軟體,可直接從 ATM 機上盜取資金,至少有 140 家銀行和企業的網路被此類惡意軟體感染。遭遇攻擊的銀行和企業分屬 40個不同國家,其中,美國、法國、肯亞、厄瓜多、英國的大兄弟受到的攻擊最嚴重。

這種惡意軟體有個牛氣哄哄的背景:它從複雜的計算機蠕蟲病毒 Stuxnet 衍生而來,之前,這個軟體是由美國和以色列開發,用來攻擊伊朗的核設施。

萬萬沒想到,攻擊核設施的惡意軟體還能用來搞垮 ATM,黑客為了掙錢,條條大路通羅馬。黑客還挺狡猾,使用了常見的系統管理軟體和安全軟體偽裝這款惡意軟體,大大降低了它被發現的機率。

美國時間 10 月 11 日,外媒又報導,上次揪出了偽裝的 ATM 惡意軟體,這次卡巴斯基又發現了一個新惡意軟體,還給它取了個名字叫“ATMii”。意思很明白了:ATM 2.0 版本!

“ATMii”是個什麼鬼

不過,卡巴斯基把這個發現捂在手裡大半年才被媒體報導出來。

今年 4 月,卡巴斯基就發現了 ATMii 惡意軟體,它會執行兩個模組:注射器模組(exe.exe)和要注入的模組(dll.dll),從而從目標機器中偷錢。

清空購物車不可怕,黑客想清空 ATM 機:來,乖乖吐錢

這個惡意軟體的安裝很簡單:直接物理訪問或網路訪問目標 ATM,安裝惡意程式碼。

卡巴斯基拿到這個惡意軟體的樣本後進行了分析:注入器是不受保護的命令列應用程式,以 Visual C 語言編寫,還在上面搞了個四年前的假編譯時間戳混淆視聽。惡意程式碼適用於 Windows XP 以及更高版本的系統,而這些正是大部分 ATM 的執行系統。

同行相輕,黑客界也不例外。

卡巴斯基的研究員一邊分析一邊吐槽:針對 atmapp.exe(專有ATM軟體)程式的注入器寫得相當爛,因為它取決於幾個引數。如果沒有給出來,應用程式就會捕獲異常。

下面就是可能只有安全人員才看得懂的 blabla了:

支援的引數包括:

/ load,它試圖將dll.dll注入atmapp.exe。

/ cmd,它建立或更新C: ATM c.ini檔案,將命令和引數傳遞給受感染的庫。

/ unload,它嘗試從atmapp.exeprocess解除安裝注入的庫,同時恢復其狀態。

可用的命令允許分配所需數量的現金,檢索有關ATM現金卡的資訊,並從ATM中完全刪除C: ATM c.ini檔案。

注入DllMain函式後,dll.dll 庫載入 msxfs.dll,並使用函式mWFSGetInfo替換WFSGetInfofunction。

注入的模組嘗試找到 ATM 的 CASH_UNIT 服務 ID 並儲存結果。

如果成功,所有連續的呼叫將重定向到mWFSGetInfofunction,該函式從C: ATM c.inifile中解析並執行命令。

卡巴斯基的研究人員提出了兩個措施:預設拒絕和裝置控制。

第一個措施可以防止黑客在 ATM 的內部 PC 上執行自己的程式碼,而第二個措施將阻止黑客連線新的裝置,比如 U 盤。

讓 ATM 吐錢其實很簡單

這句話絕對不是雷鋒網宅客頻道(微信公眾號:letshome)瞎編的,但請注意,這是有水平的黑客自己說的。

事實上,今年9月,卡巴斯基還曝光了一款ATM 惡意軟體“ATMitch”,這個惡意軟體可讓攻擊者非法取款,然後可自行刪除記錄。

ATMitch 惡意軟體攻擊的第一階段需要獲取銀行系統的訪問許可權,然後使用開源或其他公開可用的公用程式來控制系統以及攻擊其他 ATM 。由於它在記憶體中執行,這種無檔案惡意軟體會在受感染系統重啟後消失。

早在 2016年,卡巴斯基實驗室滲透測試專家就在題為《採用惡意軟體(和非惡意軟體)方式攻破ATM機》的演講中,深度剖析了 ATM 機易受攻擊的原因。

卡巴斯基給出的原因不多不少,有七條:

1.ATM 機本質是一臺電腦。就算裝了工業控制器,在 ATM 機系統裡說了算的還是傳統的 PC 電腦。

2.在 2016年的演示中,卡巴斯基稱,演示的那臺 PC 電腦有很大可能是由非常老舊的作業系統所控制,例如:Windows XP。由於微軟不再提供技術支援,所有零日漏洞將永久存在且沒有任何補丁修復。不少黑客對雷鋒網(公眾號:雷鋒網)表示:就算微軟常常發補丁,大家打補丁的速度還是跟不上,尤其是工控裝置,一次更新你以為鬧著玩哦!

上述也提到,ATMii 針對的還是Windows XP 和更高版本的系統。

3.ATM 機裡執行了很多有漏洞的軟體。系統有漏洞還不算,安裝的軟體繼續補刀。

4.卡巴斯基稱,ATM 機生產商似乎一廂情願地認為 ATM 機 總是”正常工作”,且永遠不會出錯。因此,沒有任何軟體的完整性控制,也未安裝任何反病毒解決方案,更不用提對向自動提款機傳送命令的應用程式的安全認證。

5.安全人員吐槽:ATM 機看上去做得那麼堅固,用的材料也是極好的,但為什麼 ATM 機的電腦外殼卻是由塑料造的?最好的也只有薄金屬保護,這個鎖就更簡單了,這不是輕易讓人就能破掉嗎?

6.ATM 會與處理中心聯網。

7.ATM 機模組通常連有各種標準介面,比如,COM和USB埠。有時這些介面就按在機櫃外部,任何人都能輕鬆訪問。即使未按在外部,犯罪分子也能想出各種辦法連線這些埠。

本文作者:李勤
本文轉自雷鋒網禁止二次轉載,原文連結


相關文章