歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

存在10年的網絡重磅炸彈:ATM惡意軟件的深入回顧

來源:本站整理 作者:佚名 時間:2019-06-05 TAG: 我要投稿

一、摘要
Skimer惡意軟件是人們發現的第一個專門用于攻擊自動柜員機(ATM)的惡意軟件,自首次發現以來,距今已經有10年的時間了。在當時,要理解惡意軟件的功能,需要經歷一個非常困難的學習過程,分析人員需要具體掌握不同制造商的ATM的API函數和參數,而這些都沒有被記錄在任何公開的文檔中。
在發現Skimer惡意軟件之前,反惡意軟件研究人員普遍認為ATM是比較安全的機器,因為它們包含專有硬件,運行非標準的操作系統,并實施了許多旨在防止使用惡意代碼攻擊的高級保護技術。研究人員最后發現,最流行的ATM制造商使用了標準的Windows系統,并添加了一些輔助設備,例如保險箱、讀卡器等。
隨著時間的推移,一些新型的ATM惡意軟件(例如GreenDisperser、Tyupkin)背后的開發人員意識到,有一個金融服務API(CEN/XFS)的通用Windows擴展,可以用于制作獨立于底層硬件平臺運行的惡意軟件,前提只需要ATM制造商支持該框架。無論攻擊者是否持有合法的銀行卡,這種惡意軟件都可以欺騙取款機吐出現金。
時至今日,ATM惡意軟件已經被不同的惡意軟件家族和惡意組織接連開發和利用,這些惡意組織有的是犯罪集團,也有的是隸屬于民族國家的威脅團體。ATM惡意軟件之所以被這些惡意組織所重視,是因為它可以為攻擊者帶來巨大的經濟利益,同時也能夠對目標銀行、金融機構和最終用戶造成重大損失。
既然這種特定類型的惡意軟件已經存在超過10年,那么,我們完全可以整理在不同時期中發現的惡意軟件系列,并試圖找出不同的系列是否具有一些相同或相近的代碼。
二、ATM惡意軟件概述
2.1 特征
ATM惡意軟件為犯罪分子提供了一種更加微妙的替代方案,可以直接突破ATM內置的保險箱。在ATM惡意軟件出現之前,犯罪分子通常不得不采用傳統的方式搶劫ATM,他們經常會使用物理設備將ATM拉出地面,或使用炸藥將外殼炸成碎片。顯然,這些方法很快就會引起執法人員和路人的注意。
在過去10年終,我們發現ATM惡意軟件的樣本數量正穩步增長。盡管如此,與幾乎任何其他惡意軟件相比,我們發現的樣本數量還是非常少的。
根據惡意樣本首次提交到VirusTotal的年份,統計出逐年發現的ATM惡意軟件樣本數:

作為炸藥的數字替代品,ATM惡意軟件允許犯罪分子使用特定工具,并指導他們如何從目標ATM中分配資金。通常,這是通過提供特殊的授權代碼,或者為授權交易而精心制作的卡片來實現的。
在此之前,犯罪分子不得不感染目標ATM以安裝代碼,這通常意味著,他們必須從物理角度上打開設備,才能訪問其光盤讀取設備或USB接口。
據報道,全世界各地的銀行組織都曾遭受過攻擊,但似乎在拉丁美洲和東歐最為普遍,因為這些地區的ATM基礎設施較舊,并且不會定期更新安全軟件或防篡改傳感器。ATM惡意軟件對銀行和個人造成的經濟損失很少被披露,但我們預計,每年可能達到數百萬美元。
ATM惡意軟件影響銀行和其他金融機構的正常業務,造成經濟損失,并且還會影響ATM制造商以及在ATM惡意軟件攻擊中被竊取帳戶詳細信息的個人或公司的聲譽。
2.2 分類
我們可以通過幾種不同的方式,對ATM惡意軟件進行分類。基于其功能,我們可以將ATM惡意軟件分類為虛擬竊取類型(Virtual Skimmer)和現金分配類型(Cash Dispenser)。虛擬竊取工具的功能室竊取卡片和轉賬細節,并在用戶在鍵盤上輸入密碼時竊取密碼。
現金累積工具惡意軟件允許ATM實現“Jackpotting”,竊取的金額可以由攻擊者在未經銀行授權的情況下進行分配。但是,有的惡意軟件家族可以竊取卡片的詳細信息并分布竊取資金。
就安裝過程而言,我們又能產生兩種不同的分類。第一種惡意軟件需要攻擊者物理訪問設備。第二種惡意軟件假設攻擊者通過間接方式安裝惡意軟件,通常是通過破壞銀行的內部網絡,然后使用竊取的憑據來針對目標ATM發動攻擊。
這種類型的惡意軟件,也將針對特定型號的ATM開展攻擊,或者更為通用。在我們最近發現的ATM惡意軟件中,通常會部署一些通用的功能。
最常見的框架是CEN/XFS框架,它允許ATM應用程序的開發人員編譯和運行他們的代碼,而不受ATM型號和制造商的限制。除此之外,還有其他的框架,例如在XFS之上構建的Kalignite框架。
XFS API包含用于與各種ATM模塊通信的高級功能,例如現金分發模塊(CDM)、密碼鍵盤(EPP4)或打印機。這些高級功能通過通用的SDK提供,而一些底層的功能則由ATM制造商開發,并由服務提供商提供。這樣的體系結構與Win32體系結構非常相似,其中開發人員使用高級API與OS內核以及各個硬件組件的制造商提供的各種設備驅動程序進行通信。
高級CEN/XFS架構:

大多數ATM惡意軟件樣本都需要物理訪問目標ATM。實際上,ATM通常不會連接到互聯網上,是通過專門的線路與銀行的中央系統進行通信。但是,大多數ATM都連接到內部網絡進行維護和管理。因此,可以通過首先破壞內部網絡的方式,來引入第二類惡意軟件。這種技術需要更加復雜的技術,但一旦成功,也可能帶來更高的回報。
據報道,一些通用的黑客工具,例如Cobalt Strike,被用于攻擊ATM和交易系統。這種方法通常會被更高級的惡意組織利用,例如Carbanak、Cobalt Gang和Lazarus(Group 77)。其中,Lazarus組織的Fastcash攻擊影響IBM AIX操作系統,該操作系統很少會被惡意軟件攻擊。
2.3 值得注意的ATM惡意軟件系列及功能
在過去的10年終,我們已經發現了30多個不同系列的ATM惡意軟件。在本節中,我們將簡要介紹一些更值得關注的內容。
每個家族的ATM惡意軟件樣本數:

[1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视