卡巴斯基實(shí)驗(yàn)的全球研究和分析團(tuán)隊(duì)對(duì)東歐一起針對(duì)多款A(yù)TM機(jī)的網(wǎng)絡(luò)犯罪進(jìn)行了取證調(diào)查。調(diào)查過(guò)程中，該團(tuán)隊(duì)發(fā)現(xiàn)了一款新型的惡意軟件Tyupkin，該惡意軟件使用了控制活動(dòng)時(shí)段和會(huì)話密鑰等技術(shù)來(lái)躲避檢測(cè)。而且該軟件一直在不斷演化發(fā)展種。同時(shí)，該惡意軟件從一個(gè)側(cè)面揭示了網(wǎng)絡(luò)犯罪對(duì)金融行業(yè)的威脅的變化趨勢(shì)。

??

ATM機(jī)的大致構(gòu)造(費(fèi)老大勁找的，主要為了科普)

一、起源

今年年初，受一家金融機(jī)構(gòu)的委托，卡巴斯基實(shí)驗(yàn)的全球研究和分析團(tuán)隊(duì)對(duì)東歐一起針對(duì)多款A(yù)TM機(jī)的網(wǎng)絡(luò)犯罪進(jìn)行了取證調(diào)查。在調(diào)查過(guò)程中，我們發(fā)現(xiàn)一款惡意軟件能夠讓攻擊者直接操縱ATM機(jī)來(lái)掏空ATM機(jī)的現(xiàn)金箱。

在調(diào)查的時(shí)候，該惡意軟件活躍在東歐銀行機(jī)構(gòu)所屬的超過(guò)50個(gè)ATM機(jī)上。根據(jù)提交到VirusTotal的數(shù)據(jù)，我們相信該惡意軟件已經(jīng)傳播到其他幾個(gè)國(guó)家，包括美國(guó)、印度和中國(guó)。

因?yàn)樵搻阂廛浖腥驹O(shè)備的性質(zhì)，我們沒(méi)有卡巴斯基安全網(wǎng)絡(luò)(KSN)的數(shù)據(jù)來(lái)確定感染范圍。然而，基于VirusTotal的統(tǒng)計(jì)數(shù)據(jù)，我們可以看到以下國(guó)家提交過(guò)該惡意軟件的樣本。

?? 

由卡巴斯基實(shí)驗(yàn)檢測(cè)到的新款惡意軟件Backdoor.MSIL.Tyupkin，影響一個(gè)重要ATM制造商生產(chǎn)的并運(yùn)行著微軟Windows 32位操作系統(tǒng)的ATM機(jī)。

該惡意軟件運(yùn)用了幾項(xiàng)狡猾的技術(shù)來(lái)逃避檢測(cè)。首先，它只在晚間某個(gè)特定時(shí)間出于激活狀態(tài)。再者，它為每個(gè)會(huì)話分配一個(gè)會(huì)話密鑰，該密鑰是基于隨機(jī)種子生成的。只有知道會(huì)話密鑰，攻擊者才能和受感染的ATM進(jìn)行交互。

當(dāng)密鑰被正確的輸入后，該惡意軟件會(huì)顯示每個(gè)現(xiàn)金箱中有多少現(xiàn)金可用，并允許攻擊者直接操作ATM從選定的現(xiàn)金箱中取出40張鈔票。(還不是涸澤而漁，想細(xì)水長(zhǎng)流啊)。

大部分的分析樣本是在2014年3月編譯的。然而，該惡意軟件已經(jīng)發(fā)展演化了一段時(shí)間。在最近的變種中(版本d)，該惡意軟件實(shí)現(xiàn)了反調(diào)試(anti-debugging)和抗仿真(anti-emulation)技術(shù)，并使受感染的系統(tǒng)上禁用McAfee Solidcore。#p#

二、分析ATM攻擊

根據(jù)位于受感染ATM機(jī)的安全攝影機(jī)所記錄的影像，攻擊者能夠操作ATM機(jī)并通過(guò)可引導(dǎo)光盤(pán)來(lái)安裝惡意軟件。

攻擊者拷貝下列文件到ATM機(jī)中：

C:\Windows\system32\ulssm.exe

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

經(jīng)過(guò)環(huán)境的檢測(cè)之后，該惡意軟件移除.lnk文件，并在注冊(cè)表中創(chuàng)建一個(gè)鍵：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"AptraDebug" = "C:\Windows\system32\ulssm.exe"

然后，該惡意軟件就能通過(guò)標(biāo)準(zhǔn)庫(kù)MSXFS.dll(金融服務(wù)擴(kuò)展，XFS)與ATM機(jī)進(jìn)行交互了。

這個(gè)惡意軟件運(yùn)行一個(gè)無(wú)限循環(huán)來(lái)等待用戶的輸入。為了更加難以被檢測(cè)，Tyupkin默認(rèn)情況下只在周日和周一的晚上接受命令。它接受以下命令：

XXXXXX – Shows the main window.(顯示主窗口)

XXXXXX – Self deletes with a batch file.(通過(guò)batch文件進(jìn)行自刪除)

XXXXXX – Increases the malware activity period.(增加惡意軟件的活躍時(shí)段)

XXXXXX – Hides the main window.(隱藏主窗口)

輸入命令之后，操作者必須按下ATM機(jī)鍵盤(pán)上的回車鍵。Tyupkin使用會(huì)話密鑰來(lái)防止其他用戶誤打誤撞參透玄機(jī)。在輸入“Shows themain window”命令之后，該惡意軟件顯示信息“"ENTER SESSION KEY TOPROCEED!”(輸入會(huì)話密鑰后繼續(xù))。

該惡意軟件的操作者必須了解算法并根據(jù)所顯示的種子來(lái)生成一個(gè)會(huì)話密鑰。只有當(dāng)密鑰被正確的輸入，攻擊者才可以與受感染的ATM機(jī)進(jìn)行交互。然后，該惡意軟件顯示以下信息：

CASH OPERATIONPERMITTED.(允許的現(xiàn)金操作)

TO START DISPENSE OPERATION -(開(kāi)始取款操作)

ENTER CASSETTE NUMBER AND PRESS ENTER.(輸入現(xiàn)金箱的編號(hào)并按回車)

??

當(dāng)操作選擇了現(xiàn)金箱的編號(hào)之后，ATM機(jī)會(huì)吐出40張鈔票。當(dāng)輸入的會(huì)話密鑰不正確時(shí)，該惡意軟件禁用本地網(wǎng)絡(luò)并顯示消息：

DISABLING LOCALAREA NETWORK...(禁用本地網(wǎng)絡(luò))

PLEASE WAIT...(請(qǐng)等待)

我們并不清楚惡意軟件為什么要禁用本地網(wǎng)絡(luò)，可能為了延遲或干擾遠(yuǎn)程調(diào)查。#p#

三、調(diào)查結(jié)論

近些年來(lái)，我們留意到使用分離設(shè)備和惡意軟件攻擊ATM機(jī)的事件呈現(xiàn)大幅上升趨勢(shì)。解讀全世界有關(guān)分離器劫持金融數(shù)據(jù)的報(bào)告，我們也見(jiàn)證了一個(gè)全球性的執(zhí)法行動(dòng)，逮捕并起訴了一批網(wǎng)絡(luò)犯罪分子。

眾所周知，當(dāng)消費(fèi)者把卡插入到銀行或加油站的ATM機(jī)上時(shí)，犯罪分子能夠利用分離器竊取消費(fèi)者的信用卡和借記卡數(shù)據(jù)。此事也引起了人們?cè)鰪?qiáng)了人們的安全意識(shí)并提醒人們?cè)谑褂霉睞TM時(shí)要采取一定的防范措施。

目前，我們注意到網(wǎng)絡(luò)犯罪所帶來(lái)的威脅沿著金融鏈條逐漸向上演變并把槍口直接瞄向了金融機(jī)構(gòu)。具體表現(xiàn)在通過(guò)直接地感染ATM機(jī)或直接地針對(duì)銀行實(shí)施APT攻擊。Tyupkin惡意軟件就是其中的一個(gè)典型案例，攻擊者順勢(shì)而上并開(kāi)始尋找ATM基礎(chǔ)設(shè)施的弱點(diǎn)。

事實(shí)上，大量的ATM機(jī)運(yùn)行著存在已知缺陷的操作系統(tǒng)并缺乏相應(yīng)的安全解決方案。這是另一個(gè)亟需解決的問(wèn)題。

四、安全建議

我們建議部署ATM機(jī)的金融機(jī)構(gòu)和公司考慮以下的安全建議：

① 審查ATM機(jī)的物理安全，考慮購(gòu)買(mǎi)高質(zhì)量的安全解決方案。

② 更改所有的ATM機(jī)默認(rèn)的上池鎖(upper pool lock)和密鑰。避免使用供應(yīng)商提供的默認(rèn)主密鑰。

③ 安裝并確保ATM安全警報(bào)能夠正常工作。

④ 關(guān)于如何驗(yàn)證您的ATM機(jī)是否被感染的說(shuō)明，請(qǐng)通過(guò)intelreports@kaspersky.com聯(lián)系我們。對(duì)于如何全面掃描ATM系統(tǒng)并刪除這個(gè)惡意軟件，請(qǐng)使用免費(fèi)的卡巴斯基病毒刪除工具(??下載地址??)

五、對(duì)于部署ATM操作員的一般建議

① 確保ATM機(jī)處于一個(gè)被安全攝像機(jī)所監(jiān)控的開(kāi)放的、視野開(kāi)闊的環(huán)境中。ATM機(jī)應(yīng)該被安全地固定在地板上，并安裝一個(gè)防套索裝置來(lái)威懾犯罪分子。

② 經(jīng)常檢查ATM機(jī)是否添加了第三方設(shè)備(分離器)。

③ 警惕犯罪分子發(fā)起的社工攻擊，偽裝成檢查員或安全報(bào)警、安全攝像機(jī)以及部署的其他設(shè)備。

④ 認(rèn)真對(duì)待入侵警報(bào)，向執(zhí)法部門(mén)報(bào)告任何潛在的違法犯罪活動(dòng);

⑤ 考慮給ATM添加僅夠一天活動(dòng)所需的現(xiàn)金;

⑥ 對(duì)于商家和用戶的更多建議請(qǐng)參考：??鏈接??