新 ATM 惡意程式 Alice, 專門用來清空自動提款機

趨勢科技發現了稱為Alice的新ATM 自動提款機惡意程式,這是我們遇到最精簡的ATM惡意軟體。與其他ATM惡意軟體不同,Alice不能透過數字鍵盤控制;也沒有資料竊取功能。它就是設計來清空ATM的錢。我們依照惡意檔案內的版本資訊”Project Alice “,將這新惡意軟體家族偵測為 BKDR_ALICE.A。

趨勢科技在2016年11月首次發現Alice 這隻ATM惡意軟體,這是我們和歐洲刑警組織網路犯罪中心(Europol EC3)的ATM惡意軟體共同研究計畫的成果。我們收集了一份雜湊值清單並從VirusTotal取得對應的檔案作進一步地分析。其中一個程式最初被認為是Padpin ATM惡意軟體的新變種。不過經過逆向工程分析後,我們發現它屬於全新的家族,趨勢科技將其稱之為Alice。

ATM惡意軟體從2007年就一直存在著,但在過去九年間,我們只看到八種ATM惡意軟體家族,包括Alice。這趨勢在過去的二三年間大大地加速,大部分家族都在這時出現。

 

技術細節

Alice這名稱來自於內嵌在惡意檔案內的版本資訊:


1Alice樣本的檔案屬性

 

根據執行檔編譯時間和Virustotal提交日期,Alice從2014年10月就已經出現。我們所發現的Alice樣本有用商用加殼/混淆程式VMProtect進行加密。這個軟體會檢查內嵌程式是否執行在除錯器中,如果是就會顯示以下錯誤消息:


2、錯誤消息

 

在執行任何惡意程式碼前,Alice會檢查是否在適當的金融服務擴展(XFS)環境中執行,確保自己真的是在ATM上執行。它的作法是檢查以下註冊表項:

  • HKLM\SOFTWARE\XFS
  • HKLM\SOFTWARE\XFS\TRCERR

 

如果這些註冊表項不存在,惡意軟體假定環境不對而將自己終止。Alice還需要系統有安裝以下DLL:

  • dll
  • dll
  • dll

 

根據XFS檢查成功與否,Alice會顯示認證視窗或一般錯誤訊息框:

3和圖4、執行後的訊息框。如果XFS檢查成功會顯示上方的認證視窗。如果檢查得出否定結果則顯示下方的錯誤訊息。

 

當第一次執行時,Alice會在根目錄建立大小為5MB的空檔案 – xfs_supp.sys和錯誤日誌檔 –  TRCERR.LOG。第一個檔案用零填滿而沒有寫入任何資料。第二個檔案(TRCERR.LOG)是惡意軟體用來寫入執行期間所發生任何錯誤的日誌檔案。所有XFS API調用及對應的訊息/錯誤都會被記錄。此檔案在移除時不會從機器中刪除。它會留在系統上以便將來進行疑難排除,也可能是惡意軟體作者忘記清理它。

Alice連接到CurrencyDispenser1周邊,這是XFS環境中出鈔機的預設名稱。Alice不會連接ATM其他的硬體;因此犯罪分子不能透過鍵盤輸入任何指令。如果Alice連接CurrencyDispenser1失敗並不會將自己終止,而只是記錄錯誤。

上圖的PIN輸入提供向Alice惡意軟體發出指令的方法。有三個指令可以輸入:

PIN 指令說明
1010100 解密和植入sd.bat到現在目錄。這個批次檔用來清理/移除Alice。
0 結束程式並執行sd.bat。還會刪除xfs_supp.sys
基於ATM終端ID的特定4位數 開啟「操作面板」

 

如果輸入PIN碼時發生多次錯誤會導致出現以下視窗,並且讓惡意軟體自行終止:

 

5、錯誤消息

輸入正確PIN碼可以讓Alice開啟「操作面板」。這是會顯示機器內各個裝錢匣的視窗,讓攻擊者可以找時間偷走。(因為我們是在測試環境執行此惡意軟體,所以示範畫面看不到任何顯示。)

6、操作面板

車手可能需要重複操作多次,以吐光裝錢匣內所有的現金。

注意,裝錢匣編號輸入「0」或「9」也會執行sd.bat並刪除xfs_supp.sys

當車手在操作面板輸入裝錢匣編號時,CurrencyDispenser1周邊透過WFSExecute API送出吐鈔指令將儲存的現金吐出。ATM通常有40張鈔票的吐鈔限制,因此車手可能需要重複操作多次以吐光裝錢匣內所有的現金。每個匣中儲存的現金數目會在螢幕上動態更新,因此車手知道離完全清空還要多久。

犯罪分子手動用Alice替換掉Windows工作管理員

Alice通常在受感染系統上以taskmgr.exe出現。雖然惡意軟體本身並不具備持久性方法,我們相信犯罪分子手動用Alice替換掉Windows工作管理員。任何調用工作管理員的指令也會調用Alice。

 

Alice惡意程式不使用ATM 機器實體鍵盤

Alice的功能很精簡,跟我們分析過的其他ATM惡意軟體不同,它只具備清空ATM鈔票的基本功能,只連接CurrencyDispenser1周邊,並不嘗試使用機器的實體鍵盤。合理推測是因為Alice的幕後黑手需要實際上去打開ATM,透過USB或CD-ROM感染機器,然後將鍵盤連到機器主機板來操作惡意軟體。

另一種可能性是透過遠端桌面來經由網路操作,類似泰國的駭客攻擊或其他最近的事件。不過我們還沒有看到Alice被這樣使用。輸入PIN碼到吐鈔間的時間長度顯示Alice被用在現場犯案。 Alice也沒有精心設計安裝或移除機制 – 只需在適當的環境中執行程式就可以運作。

Alice的使用者認證跟其他ATM惡意軟體相似。負責行動的車手從犯罪集團那拿到所需的PIN碼。他們輸入的第一個指令會植入清除腳本,輸入機器特定PIN碼可以讓他們使用操作面板來進行吐鈔。

暴力破解密碼會導致惡意程式自行終止

各個樣本的存取密碼不同,以防止車手繞過犯罪集團來共享密碼,也易於追蹤車手。我們的樣本密碼只有4位數,不過這很容易可以改變。想要暴力破解密碼會導致惡意軟體在達到輸入上限後自行終止。

因為Alice只檢查XFS環境且不執行其他硬體檢查,我們相信它被設計成可以在任何使用Microsoft金融服務擴展中介層(XFS)的硬體上執行。

關於使用加殼器:Alice使用商用VMProtect加殼器,但它並不孤單。我們也發現GreenDispenser使用Themida加殼,Ploutus使用Phoenix Protector加殼等等。

加殼會讓分析和逆向工程變得更加困難。一般惡意軟體已經使用這種技術多年,今日的惡意軟體會使用客製化的加殼器。那為什麼ATM惡意軟體作者才剛開始用加殼和混淆技術?

直到最近,ATM惡意軟體都是惡意軟體世界中的小眾,由少數犯罪集團用高度針對性的方式操縱。目前正處於ATM惡意軟體成為主流的分界點。各個ATM惡意軟體家族已經由許多資安廠商加以徹底分析和討論,這些犯罪分子現在已經開始發現需要將自己從資安界前隱藏起來,避免被發現和偵測。今天,他們使用商用加殼器;明天我們預期會看到他們開始使用客製化加殼器和其他混淆技術。

 

進一步的技術細節及各種ATM惡意軟體比較可以參考附錄

 

入侵指標(IOC

此次分析所用的檔案具備以下SHA256雜湊值:

  • 04F25013EB088D5E8A6E55BDB005C464123E6605897BD80AC245CE7CA12A7A70
  • B8063F1323A4AE8846163CC6E84A3B8A80463B25B9FF35D70A1C497509D48539

 

@原文出處:Alice: A Lightweight, Compact, No-Nonsense ATM Malware 作者:David SanchoNumaan Huq(資深威脅研究員)

 

盤點 2016 十大資安數字-企業機構篇

2016 年發生了哪些你印象深刻的資安事件? 讓我們用一些資安數字來回顧相關新聞:
上一篇盤點 2016 十大資安數字-一般用戶篇 ,我們分享了以下數據:

  1. 雅虎 5 億用戶資料外洩
  2.  一天8篇文就能推測出你住家位置
  3. 全台每8秒一個裝置受到勒索病毒攻擊!
  4.  48%的人會將撿到的隨身碟插入電腦
  5.  41-45 歲的熟女最易被騙

接下來我們繼續看以下五則:

  1. CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍
  2. 歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式
  3. ATM自動吐鈔,遭盜領8千萬
  4. 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得
  5. 逾14萬台網路攝影機發動史上最大DDoS攻擊

CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

 

✅入侵出納人員電子郵件帳號
✅ 攔截預定好的轉帳交易
✅ 假借高階主管名義寄發郵件
✅下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

延伸閱讀: CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式

最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)
最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。

變臉詐騙案件規模逐年擴張成長,根據最新FBI 6月14日發佈的報告指出, 自2015 年1月以來,企業機構通報的變臉詐騙損失金額成長13倍,造成全球近31 億美元的損失,其中資料顯示多數詐欺性轉帳皆流向位於中國與香港的亞洲銀行。

趨勢科技提供企業6個小秘訣,杜絕變臉詐騙找上門!

  1. 仔細檢查所有的電子郵件:小心來自高階主管的不尋常郵件,詐騙郵件最常使用簡短而含糊的主旨,有時甚至只有一個字,這些都可能為詐騙份子誘騙的動作。此外,針對要求資金轉移的電子郵件需加以確認是否為正確郵件。
  2. 提升員工防詐意識:員工往往是企業資安環節中最脆弱的一環,積極做好員工訓練,仔細審視公司政策,並且培養良好的資安習慣。
  3. 任何廠商變更的匯款資訊,皆必須經由公司另一位人員複核。
  4. 掌握合作廠商的習慣:包括匯款的詳細資料和原因。
  5. 使用電話做為雙重認證機制:透過電話撥打原本已登記的慣用電話號碼,做為雙重認證機制,而非撥打電子郵件當中提供的連絡資訊。
  6. 一旦遇到任何詐騙事件,立即報警或向165反詐騙專線檢舉。

Continue reading “盤點 2016 十大資安數字-企業機構篇”

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

七月台灣發生金融史上頭一遭,ATM自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

 

 Ripper能夠讓提款機吐出大量金錢,也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式,確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能,可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體,認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施,曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術,針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節,這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標(如code offset程式碼偏移量)來讓其他研究人員可以繼續延伸我們的工作。

在今年四月,趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告,可以聯絡Robert McArdleContinue reading “ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體”

ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升

 近日台灣發生銀行ATM 遭盜領 7千萬事件震驚全國,其實自動提款機盜領在國際間層出不窮,本文介紹目前已知的幾種 ATM 攻擊手法。

歹徒再也不必靠蠻力就能輕鬆偷走 ATM 自動提款機的錢。現在,資安產業和執法機關已意識到,ATM 也開始成為駭客攻擊的目標。早在幾年之前就有資安研究人員發現專門攻擊 ATM 提款機的惡意程式,而且也實際看過歹徒得逞的案例。在這些案例中,歹徒使用的是專門針對 ATM 設計的惡意程式。從實體轉到數位的犯案手法,意味著犯罪集團已經發現一項事實,那就是:採用惡意程式來竊取提款機中的鈔票或提款卡資料,反而更輕鬆、更隱密。看來,這股趨勢未來只會更加嚴重,因此值得我們來探討一下網路犯罪集團目前已知的幾種 ATM 攻擊手法。

圖 1:歐洲 ATM 攻擊案例 (2011 至 2015 年)。
圖 1:歐洲 ATM 攻擊案例 (2011 至 2015 年)。

 

ATM 相關詐騙與實體攻擊

前述數字顯示,ATM 相關詐騙和攻擊數量在過去幾年大致呈現上揚的走勢 (ATM 相關詐騙與攻擊從 2014 至 2015 年成長了 15%)。軟體攻擊的成長趨勢,意味著精明的網路犯罪集團已意識到駭客工具在該領域的潛在應用商機。然而這些數字卻還只是惡意程式在 ATM 竊盜領域初試身手而已,未來勢必更加猖獗。 Continue reading “ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升”

Skimer將自動提款機變成側錄機

自動提款機已經漸漸成為網路犯罪分子垂涎的目標,感染惡意軟體的自動提款機,讓歹徒即使沒有受害人的提款卡,也就能夠提光機器的錢和取得卡片敏感資料。自動提款機惡意軟體並非新聞,而各種利用惡意軟體的作法讓犯罪分子可以更加輕易地從提款機中取得金錢和卡片敏感資料。

skimer-atm-malware

[延伸閱讀:自動提款機惡意軟體增加]

 

Skimer將自動提款機變成側錄機器

在2009年,研究人員發現一群被稱為Skimer集團的駭客組織會利用Skimer惡意軟體在自動提款機竊取用戶的金錢。研究人員現在發現這惡意軟體已經進行更新,不僅更難以被偵測,也能夠將自動提款機變成側錄機器,用來收集插入卡片的資料。

Skimer集團從能夠存取自動提款機系統開始進行操作,可能是透過實際接觸或是銀行內部網路。一旦安裝Backdoor.Win32.Skimer到系統後,它會感染自動提款機的核心,這是負責對銀行基礎設施、現金處理和信用卡進行互動的執行程式。透過這種作法,他們可將整台自動提款機變成側錄機器。歹徒可提光自動提款機內所有的錢即曾機使用者提款機的卡片資料,包括客戶銀行帳戶號碼和密碼。

Continue reading “Skimer將自動提款機變成側錄機”