卡巴斯基实验的全球研究和分析团队对东欧一起针对多款ATM机的网络犯罪进行了取证调查。调查过程中,该团队发现了一款新型的恶意软件Tyupkin,该恶意软件使用了控制活动时段和会话密钥等技术来躲避检测。而且该软件一直在不断演化发展种。同时,该恶意软件从一个侧面揭示了网络犯罪对金融行业的威胁的变化趋势。
ATM机的大致构造(费老大劲找的,主要为了科普)
一、起源
今年年初,受一家金融机构的委托,卡巴斯基实验的全球研究和分析团队对东欧一起针对多款ATM机的网络犯罪进行了取证调查。在调查过程中,我们发现一款恶意软件能够让攻击者直接操纵ATM机来掏空ATM机的现金箱。
在调查的时候,该恶意软件活跃在东欧银行机构所属的超过50个ATM机上。根据提交到VirusTotal的数据,我们相信该恶意软件已经传播到其他几个国家,包括美国、印度和中国。
因为该恶意软件所感染设备的性质,我们没有卡巴斯基安全网络(KSN)的数据来确定感染范围。然而,基于VirusTotal的统计数据,我们可以看到以下国家提交过该恶意软件的样本。
由卡巴斯基实验检测到的新款恶意软件Backdoor.MSIL.Tyupkin,影响一个重要ATM制造商生产的并运行着微软Windows 32位操作系统的ATM机。
该恶意软件运用了几项狡猾的技术来逃避检测。首先,它只在晚间某个特定时间出于激活状态。再者,它为每个会话分配一个会话密钥,该密钥是基于随机种子生成的。只有知道会话密钥,攻击者才能和受感染的ATM进行交互。
当密钥被正确的输入后,该恶意软件会显示每个现金箱中有多少现金可用,并允许攻击者直接操作ATM从选定的现金箱中取出40张钞票。(还不是涸泽而渔,想细水长流啊)。
大部分的分析样本是在2014年3月编译的。然而,该恶意软件已经发展演化了一段时间。在最近的变种中(版本d),该恶意软件实现了反调试(anti-debugging)和抗仿真(anti-emulation)技术,并使受感染的系统上禁用McAfee Solidcore。
二、分析ATM攻击
根据位于受感染ATM机的安全摄影机所记录的影像,攻击者能够操作ATM机并通过可引导光盘来安装恶意软件。
攻击者拷贝下列文件到ATM机中:
C:Windowssystem32ulssm.exe
%ALLUSERSPROFILE%Start MenuProgramsStartupAptraDebug.lnk
经过环境的检测之后,该恶意软件移除.lnk文件,并在注册表中创建一个键:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"AptraDebug" = "C:Windowssystem32ulssm.exe"
然后,该恶意软件就能通过标准库MSXFS.dll(金融服务扩展,XFS)与ATM机进行交互了。
这个恶意软件运行一个无限循环来等待用户的输入。为了更加难以被检测,Tyupkin默认情况下只在周日和周一的晚上接受命令。它接受以下命令:
XXXXXX – Shows the main window.(显示主窗口)
XXXXXX – Self deletes with a batch file.(通过batch文件进行自删除)
XXXXXX – Increases the malware activity period.(增加恶意软件的活跃时段)
XXXXXX – Hides the main window.(隐藏主窗口)
输入命令之后,操作者必须按下ATM机键盘上的回车键。Tyupkin使用会话密钥来防止其他用户误打误撞参透玄机。在输入“Shows themain window”命令之后,该恶意软件显示信息“"ENTER SESSION KEY TOPROCEED!”(输入会话密钥后继续)。
该恶意软件的操作者必须了解算法并根据所显示的种子来生成一个会话密钥。只有当密钥被正确的输入,攻击者才可以与受感染的ATM机进行交互。然后,该恶意软件显示以下信息:
CASH OPERATIONPERMITTED.(允许的现金操作)
TO START DISPENSE OPERATION -(开始取款操作)
ENTER CASSETTE NUMBER AND PRESS ENTER.(输入现金箱的编号并按回车)
当操作选择了现金箱的编号之后,ATM机会吐出40张钞票。当输入的会话密钥不正确时,该恶意软件禁用本地网络并显示消息:
DISABLING LOCALAREA NETWORK…(禁用本地网络)
PLEASE WAIT…(请等待)
我们并不清楚恶意软件为什么要禁用本地网络,可能为了延迟或干扰远程调查。
三、调查结论
近些年来,我们留意到使用分离设备和恶意软件攻击ATM机的事件呈现大幅上升趋势。解读全世界有关分离器劫持金融数据的报告,我们也见证了一个全球性的执法行动,逮捕并起诉了一批网络犯罪分子。
众所周知,当消费者把卡插入到银行或加油站的ATM机上时,犯罪分子能够利用分离器窃取消费者的信用卡和借记卡数据。此事也引起了人们增强了人们的安全意识并提醒人们在使用公共ATM时要采取一定的防范措施。
目前,我们注意到网络犯罪所带来的威胁沿着金融链条逐渐向上演变并把枪口直接瞄向了金融机构。具体表现在通过直接地感染ATM机或直接地针对银行实施APT攻击。Tyupkin恶意软件就是其中的一个典型案例,攻击者顺势而上并开始寻找ATM基础设施的弱点。
事实上,大量的ATM机运行着存在已知缺陷的操作系统并缺乏相应的安全解决方案。这是另一个亟需解决的问题。
四、安全建议
我们建议部署ATM机的金融机构和公司考虑以下的安全建议:
① 审查ATM机的物理安全,考虑购买高质量的安全解决方案。
② 更改所有的ATM机默认的上池锁(upper pool lock)和密钥。避免使用供应商提供的默认主密钥。
③ 安装并确保ATM安全警报能够正常工作。
④ 关于如何验证您的ATM机是否被感染的说明,请通过intelreports@kaspersky.com联系我们。对于如何全面扫描ATM系统并删除这个恶意软件,请使用免费的卡巴斯基病毒删除工具(下载地址)
五、对于部署ATM操作员的一般建议
① 确保ATM机处于一个被安全摄像机所监控的开放的、视野开阔的环境中。ATM机应该被安全地固定在地板上,并安装一个防套索装置来威慑犯罪分子。
② 经常检查ATM机是否添加了第三方设备(分离器)。
③ 警惕犯罪分子发起的社工攻击,伪装成检查员或安全报警、安全摄像机以及部署的其他设备。
④ 认真对待入侵警报,向执法部门报告任何潜在的违法犯罪活动;
⑤ 考虑给ATM添加仅够一天活动所需的现金;
⑥ 对于商家和用户的更多建议请参考:链接