卡巴斯基實驗室:構建ATM殭屍網路並不困難

行者武松發表於2017-11-17

卡巴斯基實驗室的研究人員認為,惡意攻擊者可通過專門的搜尋引擎和特定關鍵字搜尋聯網ATM機,然後組成殭屍網路。
ATM機的“固有”弱點

卡巴斯基研究員Olga Kochetova和Alexey Osipov上週在羅馬尼亞首都布加勒斯特舉辦的DefCamp安全會議上解釋稱,ATM機每天都存有大量現金,網路犯罪分子瞄準ATM機不足為奇。雖然有的攻擊者直接實施物理入侵,也有攻擊者則偏好利用ATM的軟體漏洞讓機器自動“吐鈔”。

ATM機執行的軟體存在漏洞,這一點不可否認。許多ATM機仍在執行過時的軟體,例如Windows XP,這就意味著它們易遭遇黑客攻擊。

另外,銀行通常不會更新ATM機,這也給惡意軟體和其它攻擊創造了可乘之機。ATM機的內部安全性差,保護現金的鏈條部分並沒有單獨受到保護,這就意味著某一部分被利用都可能使整個鏈條受牽連。
ATM變殭屍網路的多種方式

惡意攻擊者能訪問ATM上執行的軟體,以此控制錢箱並提現。但是,訪問一臺裝置也可能會讓攻擊者攻擊銀行的整個ATM機系統,攻擊者可通過多種方式實現該目的:

對ATM實施物理訪問,並在其中安裝惡意裝置;

攻擊監控銀行ATM機的電腦;

甚至發起供應鏈攻擊(從廠商或維修人員在ATM機上安裝的韌體入手)。

研究人員解釋稱,攻擊者獲取了ATM機的訪問權便能在其中一臺機器上安裝裝置,並向網路中的所有機器傳送看似來自中央指揮中心的命令。 攻擊者之後可使用空白卡或其它任何卡,提取網路中的任何一臺ATM機上的現金。

研究人員表示這種方法可行,其原因在於所有銀行ATM機通常連線到平面網路(Flat Network),這就意味著網路中的任何一臺機器能看到其它聯網機器。因此,一旦攻擊者將惡意裝置植入一臺聯網ATM機中,攻擊者便能遠端控制多臺機器。這是中間人攻擊的典型例子。再將惡意裝置從ATM中取出,所有證據便會消失無蹤。

迄今為止尚未發現此類殭屍網路,這還只是一種可能性,但此前出現過資訊竊取程式感染銀行網路的案例。卡巴斯基研究員Kochetova指出,這可以被視為一類ATM殭屍網路,因為所有裝置均會遭遇感染,攻擊者可以遠端收集其中的資料。世界各地的攻擊者有可能會使用現金提取惡意軟體發起攻擊,而不使用嗅探器。

攻擊者還可能從ATM中取出VPN驅動,並通過該驅動連線到銀行的網路,且不會被任何人發現。此類VPN裝置無需依靠主機便能運作,因此攻擊者能在自己的電腦上使用。
ATM可被Shodan引擎搜尋

研究人員還指出,另一個滲透ATM網路的有效方式是:使用專門的搜尋引擎(例如Shodan)發現網路上的裝置。雖然銀行通常聲稱ATM未聯網,但如果使用的關鍵詞或片語正確,攻擊者能輕易找到這些裝置。通過Shodan搜尋發現存在漏洞的物聯網裝置、不安全的資料庫和其它聯網裝置比較常見,但是,搜尋ATM機的現象之前未出現過。

卡巴斯基實驗室:構建ATM殭屍網路並不困難-E安全

一旦發現線上ATM機,惡意攻擊者可能會開始檢查開放的埠,並設法攻擊存在已知漏洞的機器。這樣一來,攻擊者可以在ATM機上安裝資訊竊取惡意軟體或組成殭屍網路。

感染銀行內部的工作站,並延伸至整個網路(包括ATM機)是攻擊者使用的另一種攻擊技術,例如Cobalt黑客組織。

諸如CCleaner和NotPetya在內的攻擊證明供應鏈攻擊可能會影響全球。卡巴斯基實驗室的研究人員表示,ATM機也可能會遭遇此類攻擊。為了成功實施攻擊,攻擊者會攻擊桌面模板(Golden Image:用來在ATM機上安裝作業系統和所有執行的軟體)。

研究人員Osipov表示已經發現攻擊者通過被感染的U盤(技術人員連線到裝置的U盤)在ATM機上安裝普通的惡意軟體。如果使用被感染的“Golden Image”,技術人員甚至不會察覺。他還指出,如果服務提供商被當成攻擊途徑,也會出現無人覺察的情況。
ATM殭屍網路:一邊吐錢一邊挖礦

ATM機殭屍網路還可能被用來進行加密貨幣挖礦活動。Kochetova指出,每臺ATM機都相當於一臺電腦,這就意味著,攻擊者利用漏洞就可以發起攻擊。這與感染監控攝像頭構成物聯網殭屍網路一樣。

本文轉自d1net(轉載)


相關文章