清空購物車不可怕，黑客想清空ATM機：來，乖乖吐錢

能力越大，作惡後果就越可怕。

雷鋒網說的當然不是愛剁手的女人，而是比清空購物車更可怕的清空 ATM 機。

兩年前，卡巴斯基發現了一款新型惡意軟體，可直接從 ATM 機上盜取資金，至少有 140 家銀行和企業的網路被此類惡意軟體感染。遭遇攻擊的銀行和企業分屬 40個不同國家，其中，美國、法國、肯亞、厄瓜多、英國的大兄弟受到的攻擊最嚴重。

這種惡意軟體有個牛氣哄哄的背景：它從複雜的計算機蠕蟲病毒 Stuxnet 衍生而來，之前，這個軟體是由美國和以色列開發，用來攻擊伊朗的核設施。

萬萬沒想到，攻擊核設施的惡意軟體還能用來搞垮 ATM，黑客為了掙錢，條條大路通羅馬。黑客還挺狡猾，使用了常見的系統管理軟體和安全軟體偽裝這款惡意軟體，大大降低了它被發現的機率。

美國時間 10 月 11 日，外媒又報導，上次揪出了偽裝的 ATM 惡意軟體，這次卡巴斯基又發現了一個新惡意軟體，還給它取了個名字叫“ATMii”。意思很明白了：ATM 2.0 版本！

“ATMii”是個什麼鬼

不過，卡巴斯基把這個發現捂在手裡大半年才被媒體報導出來。

今年 4 月，卡巴斯基就發現了 ATMii 惡意軟體，它會執行兩個模組：注射器模組（exe.exe）和要注入的模組（dll.dll），從而從目標機器中偷錢。

這個惡意軟體的安裝很簡單：直接物理訪問或網路訪問目標 ATM，安裝惡意程式碼。

卡巴斯基拿到這個惡意軟體的樣本後進行了分析：注入器是不受保護的命令列應用程式，以 Visual C 語言編寫，還在上面搞了個四年前的假編譯時間戳混淆視聽。惡意程式碼適用於 Windows XP 以及更高版本的系統，而這些正是大部分 ATM 的執行系統。

同行相輕，黑客界也不例外。

卡巴斯基的研究員一邊分析一邊吐槽：針對 atmapp.exe（專有ATM軟體）程式的注入器寫得相當爛，因為它取決於幾個引數。如果沒有給出來，應用程式就會捕獲異常。

下面就是可能只有安全人員才看得懂的 blabla了：

支援的引數包括：

/ load，它試圖將dll.dll注入atmapp.exe。

/ cmd，它建立或更新C： ATM c.ini檔案，將命令和引數傳遞給受感染的庫。

/ unload，它嘗試從atmapp.exeprocess解除安裝注入的庫，同時恢復其狀態。

可用的命令允許分配所需數量的現金，檢索有關ATM現金卡的資訊，並從ATM中完全刪除C： ATM c.ini檔案。

注入DllMain函式後，dll.dll 庫載入 msxfs.dll，並使用函式mWFSGetInfo替換WFSGetInfofunction。

注入的模組嘗試找到 ATM 的 CASH_UNIT 服務 ID 並儲存結果。

如果成功，所有連續的呼叫將重定向到mWFSGetInfofunction，該函式從C： ATM c.inifile中解析並執行命令。

卡巴斯基的研究人員提出了兩個措施：預設拒絕和裝置控制。

第一個措施可以防止黑客在 ATM 的內部 PC 上執行自己的程式碼，而第二個措施將阻止黑客連線新的裝置，比如 U 盤。

讓 ATM 吐錢其實很簡單

這句話絕對不是雷鋒網宅客頻道（微信公眾號：letshome）瞎編的，但請注意，這是有水平的黑客自己說的。

事實上，今年9月，卡巴斯基還曝光了一款ATM 惡意軟體“ATMitch”，這個惡意軟體可讓攻擊者非法取款，然後可自行刪除記錄。

ATMitch 惡意軟體攻擊的第一階段需要獲取銀行系統的訪問許可權，然後使用開源或其他公開可用的公用程式來控制系統以及攻擊其他 ATM 。由於它在記憶體中執行，這種無檔案惡意軟體會在受感染系統重啟後消失。

早在 2016年，卡巴斯基實驗室滲透測試專家就在題為《採用惡意軟體（和非惡意軟體）方式攻破ATM機》的演講中，深度剖析了 ATM 機易受攻擊的原因。

卡巴斯基給出的原因不多不少，有七條：

1.ATM 機本質是一臺電腦。就算裝了工業控制器，在 ATM 機系統裡說了算的還是傳統的 PC 電腦。

2.在 2016年的演示中，卡巴斯基稱，演示的那臺 PC 電腦有很大可能是由非常老舊的作業系統所控制，例如：Windows XP。由於微軟不再提供技術支援，所有零日漏洞將永久存在且沒有任何補丁修復。不少黑客對雷鋒網(公眾號：雷鋒網)表示：就算微軟常常發補丁，大家打補丁的速度還是跟不上，尤其是工控裝置，一次更新你以為鬧著玩哦！

上述也提到，ATMii 針對的還是Windows XP 和更高版本的系統。

3.ATM 機裡執行了很多有漏洞的軟體。系統有漏洞還不算，安裝的軟體繼續補刀。

4.卡巴斯基稱，ATM 機生產商似乎一廂情願地認為 ATM 機 總是”正常工作”，且永遠不會出錯。因此，沒有任何軟體的完整性控制，也未安裝任何反病毒解決方案，更不用提對向自動提款機傳送命令的應用程式的安全認證。

5.安全人員吐槽：ATM 機看上去做得那麼堅固，用的材料也是極好的，但為什麼 ATM 機的電腦外殼卻是由塑料造的？最好的也只有薄金屬保護，這個鎖就更簡單了，這不是輕易讓人就能破掉嗎？

6.ATM 會與處理中心聯網。

7.ATM 機模組通常連有各種標準介面，比如，COM和USB埠。有時這些介面就按在機櫃外部，任何人都能輕鬆訪問。即使未按在外部，犯罪分子也能想出各種辦法連線這些埠。

本文作者：李勤

本文轉自雷鋒網禁止二次轉載，原文連結