欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

存在10年的网络重磅炸弹:ATM恶意软件的深入回顾

来源:本站整理 作者:佚名 时间:2019-06-05 TAG: 我要投稿

一、摘要
Skimer恶意软件是人们发现的第一个专门用于攻击自动柜员机(ATM)的恶意软件,自首次发现以来,距今已经有10年的时间了。在当时,要理解恶意软件的功能,需要经历一个非常困难的学习过程,分析人员需要具体掌握不同制造商的ATM的API函数和参数,而这些都没有被记录在任何公开的文档中。
在发现Skimer恶意软件之前,反恶意软件研究人员普遍认为ATM是比较安全的机器,因为它们包含专有硬件,运行非标准的操作系统,并实施了许多旨在防止使用恶意代码攻击的高级保护技术。研究人员最后发现,最流行的ATM制造商使用了标准的Windows系统,并添加了一些辅助设备,例如保险箱、读卡器等。
随着时间的推移,一些新型的ATM恶意软件(例如GreenDisperser、Tyupkin)背后的开发人员意识到,有一个金融服务API(CEN/XFS)的通用Windows扩展,可以用于制作独立于底层硬件平台运行的恶意软件,前提只需要ATM制造商支持该框架。无论攻击者是否持有合法的银行卡,这种恶意软件都可以欺骗取款机吐出现金。
时至今日,ATM恶意软件已经被不同的恶意软件家族和恶意组织接连开发和利用,这些恶意组织有的是犯罪集团,也有的是隶属于民族国家的威胁团体。ATM恶意软件之所以被这些恶意组织所重视,是因为它可以为攻击者带来巨大的经济利益,同时也能够对目标银行、金融机构和最终用户造成重大损失。
既然这种特定类型的恶意软件已经存在超过10年,那么,我们完全可以整理在不同时期中发现的恶意软件系列,并试图找出不同的系列是否具有一些相同或相近的代码。
二、ATM恶意软件概述
2.1 特征
ATM恶意软件为犯罪分子提供了一种更加微妙的替代方案,可以直接突破ATM内置的保险箱。在ATM恶意软件出现之前,犯罪分子通常不得不采用传统的方式抢劫ATM,他们经常会使用物理设备将ATM拉出地面,或使用炸药将外壳炸成碎片。显然,这些方法很快就会引起执法人员和路人的注意。
在过去10年终,我们发现ATM恶意软件的样本数量正稳步增长。尽管如此,与几乎任何其他恶意软件相比,我们发现的样本数量还是非常少的。
根据恶意样本首次提交到VirusTotal的年份,统计出逐年发现的ATM恶意软件样本数:

作为炸药的数字替代品,ATM恶意软件允许犯罪分子使用特定工具,并指导他们如何从目标ATM中分配资金。通常,这是通过提供特殊的授权代码,或者为授权交易而精心制作的卡片来实现的。
在此之前,犯罪分子不得不感染目标ATM以安装代码,这通常意味着,他们必须从物理角度上打开设备,才能访问其光盘读取设备或USB接口。
据报道,全世界各地的银行组织都曾遭受过攻击,但似乎在拉丁美洲和东欧最为普遍,因为这些地区的ATM基础设施较旧,并且不会定期更新安全软件或防篡改传感器。ATM恶意软件对银行和个人造成的经济损失很少被披露,但我们预计,每年可能达到数百万美元。
ATM恶意软件影响银行和其他金融机构的正常业务,造成经济损失,并且还会影响ATM制造商以及在ATM恶意软件攻击中被窃取帐户详细信息的个人或公司的声誉。
2.2 分类
我们可以通过几种不同的方式,对ATM恶意软件进行分类。基于其功能,我们可以将ATM恶意软件分类为虚拟窃取类型(Virtual Skimmer)和现金分配类型(Cash Dispenser)。虚拟窃取工具的功能室窃取卡片和转账细节,并在用户在键盘上输入密码时窃取密码。
现金累积工具恶意软件允许ATM实现“Jackpotting”,窃取的金额可以由攻击者在未经银行授权的情况下进行分配。但是,有的恶意软件家族可以窃取卡片的详细信息并分布窃取资金。
就安装过程而言,我们又能产生两种不同的分类。第一种恶意软件需要攻击者物理访问设备。第二种恶意软件假设攻击者通过间接方式安装恶意软件,通常是通过破坏银行的内部网络,然后使用窃取的凭据来针对目标ATM发动攻击。
这种类型的恶意软件,也将针对特定型号的ATM开展攻击,或者更为通用。在我们最近发现的ATM恶意软件中,通常会部署一些通用的功能。
最常见的框架是CEN/XFS框架,它允许ATM应用程序的开发人员编译和运行他们的代码,而不受ATM型号和制造商的限制。除此之外,还有其他的框架,例如在XFS之上构建的Kalignite框架。
XFS API包含用于与各种ATM模块通信的高级功能,例如现金分发模块(CDM)、密码键盘(EPP4)或打印机。这些高级功能通过通用的SDK提供,而一些底层的功能则由ATM制造商开发,并由服务提供商提供。这样的体系结构与Win32体系结构非常相似,其中开发人员使用高级API与OS内核以及各个硬件组件的制造商提供的各种设备驱动程序进行通信。
高级CEN/XFS架构:

大多数ATM恶意软件样本都需要物理访问目标ATM。实际上,ATM通常不会连接到互联网上,是通过专门的线路与银行的中央系统进行通信。但是,大多数ATM都连接到内部网络进行维护和管理。因此,可以通过首先破坏内部网络的方式,来引入第二类恶意软件。这种技术需要更加复杂的技术,但一旦成功,也可能带来更高的回报。
据报道,一些通用的黑客工具,例如Cobalt Strike,被用于攻击ATM和交易系统。这种方法通常会被更高级的恶意组织利用,例如Carbanak、Cobalt Gang和Lazarus(Group 77)。其中,Lazarus组织的Fastcash攻击影响IBM AIX操作系统,该操作系统很少会被恶意软件攻击。
2.3 值得注意的ATM恶意软件系列及功能
在过去的10年终,我们已经发现了30多个不同系列的ATM恶意软件。在本节中,我们将简要介绍一些更值得关注的内容。
每个家族的ATM恶意软件样本数:

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载