ATM 提款機成賭場拉霸機?!ATM 兩大廠商發出 ATM 吐鈔攻擊警告

全球兩大 ATM 提款機製造商 Diebold Nixdorf 和 NCR Corp. 日前發出警告:美國境內已首次出現 ATM 吐鈔攻擊 (Jackpotting) 的案例。稍早之前,美國特勤局 (U.S. Secret Service) 才發出相關警告表示,網路犯罪集團目前已有多種技巧可以強迫 ATM 提款機吐鈔。這種犯罪手法在犯罪地下網路上稱為「ATM Jackpotting」(ATM 開頭獎),頗有將提款機當成賭場拉霸機的意味。

ATM 提款機成賭場拉霸機?!ATM 提款機兩大廠商發出 ATM 吐鈔攻擊警告
ATM 提款機成賭場拉霸機?!ATM 提款機兩大廠商發出 ATM 吐鈔攻擊警告

這類強迫 ATM 吐鈔的攻擊最早出現在俄羅斯,隨後傳到了歐洲、亞洲、拉丁美洲和墨西哥。資安專業記者 Brian Krebs 在 1 月 27 日接獲 Diebold Nixdorf 公司的資安警告,指出美國境內發生的 ATM 吐鈔攻擊與 2017 年 10 月發生在墨西哥境內的攻擊類似。由於手法相似,因此很可能是同一批歹徒所為,這意味著其活動範圍已跨越墨西哥邊境,北移至美國境內。

從提款機的背面進入提款機,置換含有惡意程式的硬碟

目前強迫 ATM 吐鈔的方式有好幾種,但此處的案例必須實際進入提款機內部才能將惡意程式安裝到提款機的電腦上。裝好之後,惡意程式會從提款機的數字鍵盤或外接 USB 鍵盤接收指令,因此歹徒就能下命令給提款機內的吐鈔機,將裡面的錢掏空。

根據 Diebold Nixdorf 在 2017 年 10 月所發出的資安警告,歹徒是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程式的硬碟,然後再利用工業用內視鏡來按壓提款機內部的 Reset (重置) 按鈕重新開機。歹徒使用了幾種 ATM 吐鈔惡意程式,包括:ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer 以及 SUCEFUL。

 ATM 內安裝手機,用來經由簡訊接收提款指令 Continue reading “ATM 提款機成賭場拉霸機?!ATM 兩大廠商發出 ATM 吐鈔攻擊警告”

剖析ATM惡意軟體家族: PRILEX和CUTLET MAKER

長時間以來趨勢科技都在致力於研究ATM惡意軟體,特別是那些能夠秘密針對銀行客戶的新病毒家族。在本文裡,我們將會介紹最近兩個值得注意的惡意軟體:Prilex和Cutlet Maker。它們都有特別吸引人的地方,不過是不同的原因。

剖析ATM惡意軟體家族: PRILEX和CUTLET MAKER

PRILEX – 一種會劫持銀行應用程式的高度針對性惡意軟體

 

如果攻擊者知道關於特定自動提款機的一切,那麼這起針對性攻擊/鎖定目標攻擊(Targeted attack )會發生什麼事?

Prilex惡意軟體會竊取受感染ATM使用者的資訊。本起案例來自一家巴西銀行,但想想看到這類攻擊如果出現在你的地區,無論你是客戶還是銀行都會遭受影響。

這個被稱為Prilex的惡意軟體家族在2017年10月首次由被通報。我們解析了這個惡意軟體並發現一些不尋常的東西:它會掛鉤某些動態連結程式庫(DLL),用自己的應用程式畫面來取代別人的。它所影響的外部DLL包括:

  • dll
  • dll
  • dll

我們在網路上搜尋這些DLL,但無法找到任何相關資訊。鑑於這惡意軟體內的字串全是葡萄牙文,我們詢問了我們在該地區的銀行聯絡人。我們發現那些DLL屬於那裡銀行的ATM應用程式。這成為了高度針對性的攻擊。最重要的是,惡意軟體只影響特定廠牌的ATM,這代表攻擊者可能對其進行分析並製作客製化的攻擊。

攻擊方式很簡單。一旦機器受到感染,惡意軟體會與銀行應用程式一起執行,在螢幕出現詢問使用者帳號安全碼時用自己的畫面加以替換。此安全碼是在巴西常見於保護ATM和線上交易的雙因子認證方式。一旦使用者輸入此安全碼,惡意軟體會擷取並加以儲存。

Figure1:Display screen asking for account security code

圖1、螢幕顯示詢問帳號安全碼

 

趨勢科技針對程式碼進行分析後發現在竊取資料後出現了有意思的事情:惡意軟體嘗試與遠端命令和控制(C&C)伺服器進行通訊,並上傳信用卡資料和帳號安全碼。據我們所知,這是第一個假定自己連到網際網路的ATM惡意軟體。由於攻擊者似乎對這家銀行的作法和流程非常熟悉,所以這銀行的ATM很可能有連線。 Continue reading “剖析ATM惡意軟體家族: PRILEX和CUTLET MAKER”

盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

 

資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出,該集團曾經攻擊美國和俄羅斯的金融機構,並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。

盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

MoneyTaker 是什麼?

MoneyTaker 是一個網路犯罪集團,其名稱來自該團體所用的客製化惡意程式,此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統,然後再雇用一群車手到 自動提款機 (ATM) 前提款。

MoneyTaker運作至今至少有 18 個月之久,他們下手的對象包括:信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示,該集團目前也開始拓展版圖至拉丁美洲企業,甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年,歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行,使得該銀行至少損失 8,100 萬美元

[資安基礎觀念:商業流程入侵 (Business Process Compromise)]

MoneyTaker 是如何將錢從銀行偷走?

MoneyTaker 基本上使用的是無檔案式惡意程式,這類惡意程式不需下載檔案,亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行,或者躲藏在系統登錄內,以長期潛伏。典型的無檔案式攻擊技巧包括:將惡意程式碼直接注入現有執行程序當中,或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團,該集團已從金融機構得手超過 4,500 萬美元。 Continue reading “盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?”

趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道

從古至今,只要錢財聚集之處,就容易成為犯罪溫床。到銀行搶錢,必須突破層層保全與警衛,得手機率低且風險大,相形之下,隻身佇立在各角落的ATM,看在犯罪者眼中,確實是更易下手的標的,加上攻擊手法會流傳於暗網市集,學習精進空間大,導致ATM攻擊事件日趨頻繁。

趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道

趨勢科技資深威脅研究專家Fyodor Yarochkin,日前透過一場「The Age of Broken ATMs那些年,他們搶的ATM」演講指出,回溯 ATM攻擊史,最令人印象深刻的一次演繹,為 2010年黑帽大會上由已故白帽駭客 Barnaby Jack 展示如何駭進 ATM令其吐鈔。

Fyodor說,ATM攻擊者的明確目標就是拿錢,無論透過實體攻擊、盜拷卡片資料、Jackpotting(利用惡意程式控制吐鈔),或TRF(Transaction Reverse Fraud),全都圍繞在此目的;其中在去年(2016)震驚全臺的第一銀行ATM盜領事件,即屬於Jackpotting。

3D 列印技術盛行,但ATM惡意程式更令人擔憂

實體攻擊的常見型態,乃是借助炸藥、鑽探等工具,將ATM整臺搬走,是最耗時費力、也最易敗露行跡的攻擊手法,因此逐漸式微。至於發生頻繁曾經頗高的Skimmer或Shimmers,前者意指傳統磁條卡側錄器,後者則為晶片卡側錄器,它們的目的不在讓ATM吐鈔,亦非獲取鈔票箱裡的錢,而是記錄使用者的卡片資訊;Fyodor認為,隨著3D列印技術的發達,唯恐降低Skimmer或Shimmers製作門檻,使得原本不具足夠Know-how的宵小之徒,皆可能從事非法側錄動作,可謂一大隱憂。

但更值得人們嚴陣以待的攻擊手段,則為ATM惡意程式;只因此類犯罪的複雜性不斷攀升,攻擊範圍與規模日益擴大,對於銀行而言,堪稱是殺傷力最強的威脅之一。

回顧ATM惡意程式演進歷程,2009年資安研究人員發現在俄羅斯、烏克蘭有一隻Skimer軟體,不僅能在ATM竊取用戶的錢,也能將ATM變為側錄機,算是史上第一隻ATM惡意程式。

爾後從2014年開始,ATM惡意程式推陳出新的速度不斷提升,其間不管是2014、2016年期間偷遍歐洲與東南亞的Padpin(含變種),及同樣發生在2016年的ATMitch、Alice,及臺灣的ATM盜領事件,都相當駭人聽聞。

趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道

 

Fyodor回憶2016年ATM盜領案爆發當時,許多銀行如驚弓之鳥,紛紛把特定廠牌ATM換置下架,他認為並非有效做法,因這起攻擊事件的癥結,並不是出在ATM訊號問題,而在於背後操刀的駭客已鎖定攻擊對象,接著分析該對象的ATM設備漏洞;換言之只要目標對象持續被鎖定,即便將ATM悉數換過,仍有很大機會遇駭。

疑似與一銀案相同班底的犯罪者,可能的作案地點至少包括了吉爾吉斯、塔吉克等國家,遭駭客攻破的ATM廠牌機型,與一銀案件皆不相同。

ATM惡意程式觸角,可能延伸至其他設備

Fyodor接著說,2017年ATM惡意程式持續演進,例如發生在墨西哥與秘魯、號稱不需銀行卡即可清空ATM鈔票的Ploutus.D,有趣之處在於該程式必須靠授權金鑰啟動,時間僅24小時,堪稱是暗黑市集中新穎的商業模式。至於發生在印度的Rufus,是一款USB開機隨身碟軟體,只要駭客設法插入ATM的USB埠,就能讓機器輕鬆吐錢。

今年10月,暗黑市集中有人叫賣ATM惡意軟體工具箱,背後發起人為「Cutlet Maker」,針對ATM惡意軟體提供詳細使用手冊,強調只要利用供應商的API,無需費心取得ATM用戶資訊,即可成功從ATM盜取金錢。

總括而論,Fyodor認為展望未來,ATM攻擊行為不會消失,且將出現更大規模演化,舉凡自助付款機(UPT)、收銀機(POS)或自動售票機,都可能遭到駭客染指,值得留意。

由於人們對於ATM攻擊議題的關注度持續增高,趨勢科技特別透過粉絲頁接受相關提問,因反應熱烈,最終Fyodor偕同趨勢科技資深研究員Philippe Lin精選5個常見問題,並由Philippe進行回答。

針對備受關切議題,趨勢科技進行解惑

問題之一為「網路 ATM 與實體 ATM 的安全性是否有差異?」,Philippe答覆兩者運作方式歧異,網路ATM理論上需要你在電腦執行另一擴充套件,駭客埋伏在水坑(Waterhole)盯哨,Fingerprint你是否為某特定銀行的用戶,再進行攻擊。問題之二為「實體隔離是否可解決一銀案問題?」,Philippe認為此次一銀案的所有攻擊皆透過網際網路進行,故實體隔離可有效增加攻擊難度,但相信駭客仍會嚐試找尋別的出路。 Continue reading “趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道”

《資安專家解惑 》關於那些年他們搶的 ATM,你可能也想知道的五個提問

  趨勢科技資安專家Miaoski 和Fyodor,出席了 12/8(五) 的台灣駭客年會 HITCON 2018,主講的題目是: The Age of Broken ATMs (那些年,他們搶的 ATM),趨勢科技粉絲頁辦了一個互動活動,邀請粉絲在活動前提出最想要問講師的題目,活動反應熱烈,兩位講師精心挑選了以下五個題目,整理回答如下:
(稍晚本部落格也會整理出相關會後報導,請期待)

《資安專家解惑 》關於那些年他們搶的 ATM,你可能也想知道的五個提問

(1) Huang Yaya: 網路 ATM 與實體 ATM 的安全性是否有差異

這兩者運作方式十分不同。網路 ATM 是你要在電腦中跑另一個擴充套件,透過 waterhole 攻擊,可以 fingerprint 你是否為某個特定銀行的用戶,再進行攻擊。目前我們還沒看過針對網路ATM的攻擊,以後說不定會有。

(2) Ben Chien 實體隔離(ATM網路)就真的可以解決一銀案的問題嗎

這次第一銀行的 case 因為所有的攻擊都是透過連上 internet 進行的,所以實體隔離可以有效增加攻擊的難度,但我們相信駭客還是會尋找不同的方式進行攻擊。

(3) Nicole Yu: 除了晶片密碼6-12位設計外 有更安全的防盜錄機制? (Poli Le 先問的,「導入生物辨識技術後的atm是否能夠完全防範駭客攻擊? 我們把兩題合併回答)

導入生物辨識技術,比方說虹膜、指紋、心跳等等,可以更安全的防止盜錄,但是這只能防止側錄提款卡帳號,何況跨國提領能不能用生物辨識技術,還是另一個問題。此外,我們看到的 ATM 攻擊,包括了直接攻擊 dispenser 、存錢後再把錢夾出來、透過網路入侵 ATM 、把 ATM 整台搬走等等方式,所以導入生物辨識技術只能解決一小部份的問題。

(4) 蘇嗶: 為何ATM攻擊案例在全球漸多?是否ATM的防駭客攻擊系統遲遲沒有更新呢?

事實上各國的銀行有在加強 ATM 的防禦,比方說 skimmer 以前很普遍,但最近已經愈來愈少看到了。

有一個笑話是這樣說的,「你為什麼要去銀行搶錢?」「因為錢存在銀行裡面啊!」如果你要搶錢的話,銀行有保全和警衛,但 ATM 只有它自己。我們都知道罪犯會找最容易下手的目標,所以 ATM 就是一個好目標。此外,黑社會的技術會互相流傳,只要有人發現一個攻擊 ATM 的方法,其它人就會學走。

(5) Rock Chiang: ATM系統為何都使用微軟的WINDOWS….

提款機本身也是一台電腦,需要容易維護、也需要維護的 IT 人材。此外,為了節省維護成本、增加相容性,Microsoft 在 1991 年開始倡議 XFS (eXtended Financial Service) ,後來漸漸成為業界標準。這也是 Microsoft Windows 普遍用在提款機的一大主因。

【你提問 我送禮 搶早鳥禮 留言要趁早】關於那些年他們搶的 ATM,你最想要知道的是…?

你提問 我送禮 搶早鳥禮 留言要趁早 趨勢科技資安專家Miaoski 和Fyodor,將出席 12/8(五) 的台灣駭客年會 HITCON 2018,主講的題目是: The Age of Broken ATMs (那些年,他們搶的 ATM)

【你提問 我送禮 搶早鳥禮 留言要趁早】關於那些年他們搶的 ATM,你最想要知道的是...?

 

【你提問 我送禮 搶早鳥禮 留言要趁早】關於那些年他們搶的 ATM,你最想要知道的是...?

 

近年來眾多的 ATM 攻擊案例出現在媒體閃光燈下,但駭客的攻擊手法也隨之進展。在本演講中,我們將展示這些年眾多的 ATM 攻擊手法,除了大家眾所皆知的台灣 ATM 事件,還包含俄羅斯、吉爾吉斯、 眾多中東國家、西班牙以及一些歐洲國家的攻擊案例。

【愈早留言 中獎機率愈高 】 
【你提問 我送禮 搶早鳥禮 留言要趁早】關於那些年他們搶的 ATM,你最想要知道的是...? 早鳥禮:無論您是否有出席該議程,趨勢科技粉絲只要在趨勢科技粉絲頁這則貼文下留言,您想要問講師的題目,前50名就可以獲得輕旅行收納四件組乙套
【你提問 我送禮 搶早鳥禮 留言要趁早】關於那些年他們搶的 ATM,你最想要知道的是...?精彩提問禮:講師將選出最多五個題目在當天議程中回答, 獲選者可獲得高級藍芽喇叭乙組,講師的回答將整理成文公布在資安趨勢部落格
—————————————————————————
*留言題目與他人重複或雷同者,不列入前 50 名早鳥
*被講師選上的題目,如有重複或雷同者,以先提出者為優先
*每人不止限定提問一題,但早鳥禮資格僅限一次
活動截止日:12/7
得獎公布日: 12/11
領獎辦法:請密切注意趨勢科技粉絲頁的動態

 ► 立刻留言 拿好禮

 

從臨機攻擊到網路攻擊:ATM 惡意程式演化史(內含趨勢科技與歐洲刑警組織-Europol 共同發表研究報告)

ATM 惡意程式是一項存在已久的數位威脅,第一個已知的變種,最早可
追溯至 2009 年。由於它可以帶來龐大的現金,因此一直是許多網路犯罪
集團的重要武器之一,這一點不令人意外。
我們一而再、再而三看到網路犯罪集團在 ATM 提款機上加裝磁條盜拷裝
置,甚至大剌剌地安裝在公共場所的提款機上,也看到他們所犯下的一
些大型的 ATM 提款機盜領案。
但是,由於這項犯罪獲利相當驚人,因此歹徒朝網路化發展,經由銀行
內部網路來攻擊 ATM 提款機,只能說是一項自然而然的演變。畢竟,如
果能夠找到金融機構的漏洞,然後避開安全機制並滲透到金融機構的內
部網路,其回報必定更加驚人。
再加上,許多 ATM 提款機目前依然還在使用一些老舊過時的作業系統,
因此 ATM 惡意程式未來勢必仍是網路犯罪集團的主要犯罪工具。這類老
舊的作業系統,由於廠商已經不再提供支援,因此任何漏洞都不會再有安
全修補與更新。所以,仍在使用這類老舊作業系統的電腦,很容易遭到攻
擊。
本文將詳細探討目前已知的各種 ATM 惡意程式家族與攻擊型態 (臨機攻
擊或網路攻擊),以及駭客如何滲透目標的基礎架構並且在內部遊走。

2016 年,趨勢科技發表了一份非公開的研究報告,詳細介紹了一些已知專門攻擊 ATM 提款機的惡意程式家族。該份報告的主要重點在說明這些惡意程式家族如何利用 ATM 應用程式開發介面 (API) 與金融服務延伸功能 (eXtensions for Financial Services,簡稱 XFS) 的 API,來與 ATM 的相關硬體溝通,其中最主要的是讀卡機和吐鈔機。

從臨機攻擊到網路攻擊:ATM 惡意程式演化史(內含趨勢科技與歐洲刑警組織-Europol 共同發表研究報告)

當時,我們發現駭客感染 ATM 提款機主要是靠臨機攻擊:駭客實際打開提款機外殼,在裸機的情況下使用USB 隨身碟或 CD 光碟將提款機系統重新開機。這樣的攻擊方式雖然至今仍然可見,不過,最近已開始出現上次報告曾經暗示過的一種新式攻擊,那就是:網路攻擊。

儘管當時我們只是推測這樣的情況有可能發生,並未料到我們竟然一語成讖。隨著銀行開始對 ATM 提款機的臨機攻擊有所警覺,並且採取一些必要的防範措施,駭客也跟著開始另闢途徑,也就是 ATM 網路攻擊。

要經由網路感染 ATM 提款機,駭客需要更多的事前規劃與準備,其最大的困難在於從銀行內部網路進入ATM 網路。因為,在一個規劃良好的網路架構中,這兩個網路通常會分開獨立,因此要從某個網路進到另一個網路必須穿越防火牆和其他可能的安全機制。不幸的是,某些銀行並未實施網路分割。就算兩者分開獨立,在某些已知的案例當中,歹徒還是能夠經由銀行內部網路將惡意軟體安裝到 ATM 提款機上。

為了讓讀者有個大致的概念,以下我們將所有已知的攻擊分成兩大類:

  1. 經由臨機操作方式進入 ATM 提款機的攻擊:在這類案例當中,歹徒通常利用一把萬能鑰匙或用暴力的方式打開提款機外殼。
  1. 經由網路進入 ATM 提款機的攻擊:這類攻擊通常需要先駭入銀行內部網路。

在介紹過這兩種攻擊之後,我們會在第三節當中再介紹兩種較為特殊且較為罕見的攻擊型態。我們相信這兩種攻擊雖然較不常見,但仍值得注意,因為只要是之前曾經發生過的案例,之後還是可能會再出現。為了力求完整,我們也將介紹一個用來測試上述攻擊方式的工具。儘管該工具不會用在攻擊當中,但卻顯示歹徒在實際行動之前如何測試其攻擊手法。

在這份報告的最後,我們將探討 ATM 攻擊背後的犯罪集團。然而,追溯攻擊源頭是件棘手的問題,因此我們主要將著眼於整體的威脅情勢,並約略分析一下歹徒在這類攻擊當中的獲利模式。

最後請記住,在所有已知的攻擊案例當中,歹徒使用 ATM 惡意程式的最終目標都是為了在提款機上安裝一個程式來吐光提款機內的鈔票,或是盜取提款機內保留的金融卡資料,或兩者都有。

ATM 基本構造:

如何進入 ATM 提款機內部

ATM 惡意程式的主要目標就是連上並操控提款機內的周邊裝置,進而讓提款機吐鈔,或者/並且蒐集銀行客戶的金融卡資料。因此,要了解 ATM 惡意程式如何攻擊提款機,首先必須認識提款機的內部構造。以最簡單明瞭的方式來看,ATM 提款機基本上就是一台電腦再加上一個小金庫,然後外面用一個機殼加以包覆。此外,ATM 提款機還可連接一些周邊裝置來為客戶提供多樣化服務,例如:提款、存款、轉帳、付款等等。儘管 ATM 提款機有各種外觀樣式和體型,但內部構造其實大同小異。下圖示範 ATM 提款機的基本構造與各部分元件:

圖 1:ATM 提款機各部分元件。
圖 1:ATM 提款機各部分元件。

 

ATM 提款機主要由以下單元所構成:

  1. 中央處理器 (CPU):負責控制使用者操作介面、通訊、管理周邊裝置、處理交易。
  2. 讀卡機:磁條或晶片卡讀卡機,負責讀取金融卡。
  3. 數字鍵盤:具備加密功能的數字鍵盤 (EPP),可將鍵盤上輸入的 PIN 碼加密。
  4. 安全加密晶片:負責通訊的加密與解密,所有交易皆採用 AES 或 3DES 加密演算法。
  5. 螢幕:負責顯示 ATM 的操作介面,某些較新的 ATM 會採用觸控螢幕和虛擬功能鍵。
  6. 功能鍵:螢幕或觸控螢幕旁邊的按鍵,用來選擇螢幕上的選項或常用功能。
  7. 收據列印機:用來列交易記錄,某些 ATM 還可補登存摺。
  8. 金庫:這是 ATM 最重要的元件,採用高張力鋼板打造。金庫內包含了吐鈔機制、支票和現鈔存款機制、鈔票進出登記系統、鈔票箱以及安全鎖。
  1. 內層機殼:這是一層客製化的金屬機殼,外層機殼基本上是採用高硬度熱成形 ABS 塑膠製造,並且貼有銀行的標誌。
  1. 保全設備:ATM 提款機同時也會配備監視攝影機,以及 (磁鐵、溫度、地震、瓦斯等等) 安全感應裝置、喇叭、指示燈等等。

今日的 ATM 提款機再也不像以往採用特殊規格的硬體,而是一般標準的 PC 與 USB、乙太網路、IP 通訊協定以及 Windows® 作業系統等等。最主要的原因應該是成本的考量,除了零件更便宜之外,軟體的支援度以及互通性也更好。 Continue reading “從臨機攻擊到網路攻擊:ATM 惡意程式演化史(內含趨勢科技與歐洲刑警組織-Europol 共同發表研究報告)”

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

趨勢科技發現了稱為Alice的新ATM 自動提款機惡意程式,這是我們遇到最精簡的ATM惡意軟體。與其他ATM惡意軟體不同,Alice不能透過數字鍵盤控制;也沒有資料竊取功能。它就是設計來清空ATM的錢。我們依照惡意檔案內的版本資訊”Project Alice “,將這新惡意軟體家族偵測為 BKDR_ALICE.A。

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

趨勢科技在2016年11月首次發現Alice 這隻ATM惡意軟體,這是我們和歐洲刑警組織網路犯罪中心(Europol EC3)的ATM惡意軟體共同研究計畫的成果。我們收集了一份雜湊值清單並從VirusTotal取得對應的檔案作進一步地分析。其中一個程式最初被認為是Padpin ATM惡意軟體的新變種。不過經過逆向工程分析後,我們發現它屬於全新的家族,趨勢科技將其稱之為Alice。

ATM惡意軟體從2007年就一直存在著,但在過去九年間,我們只看到八種ATM惡意軟體家族,包括Alice。這趨勢在過去的二三年間大大地加速,大部分家族都在這時出現。

 

技術細節

Alice這名稱來自於內嵌在惡意檔案內的版本資訊:

新 ATM 惡意程式 Alice, 專門用來清空自動提款機
1Alice樣本的檔案屬性

 

根據執行檔編譯時間和Virustotal提交日期,Alice從2014年10月就已經出現。我們所發現的Alice樣本有用商用加殼/混淆程式VMProtect進行加密。這個軟體會檢查內嵌程式是否執行在除錯器中,如果是就會顯示以下錯誤消息:

新 ATM 惡意程式 Alice, 專門用來清空自動提款機
2、錯誤消息

 

在執行任何惡意程式碼前,Alice會檢查是否在適當的金融服務擴展(XFS)環境中執行,確保自己真的是在ATM上執行。它的作法是檢查以下註冊表項:

  • HKLM\SOFTWARE\XFS
  • HKLM\SOFTWARE\XFS\TRCERR

 

如果這些註冊表項不存在,惡意軟體假定環境不對而將自己終止。Alice還需要系統有安裝以下DLL:

  • dll
  • dll
  • dll

 

根據XFS檢查成功與否,Alice會顯示認證視窗或一般錯誤訊息框:

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

3和圖4、執行後的訊息框。如果XFS檢查成功會顯示上方的認證視窗。如果檢查得出否定結果則顯示下方的錯誤訊息。

 

當第一次執行時,Alice會在根目錄建立大小為5MB的空檔案 – xfs_supp.sys和錯誤日誌檔 –  TRCERR.LOG。第一個檔案用零填滿而沒有寫入任何資料。第二個檔案(TRCERR.LOG)是惡意軟體用來寫入執行期間所發生任何錯誤的日誌檔案。所有XFS API調用及對應的訊息/錯誤都會被記錄。此檔案在移除時不會從機器中刪除。它會留在系統上以便將來進行疑難排除,也可能是惡意軟體作者忘記清理它。

Alice連接到CurrencyDispenser1周邊,這是XFS環境中出鈔機的預設名稱。Alice不會連接ATM其他的硬體;因此犯罪分子不能透過鍵盤輸入任何指令。如果Alice連接CurrencyDispenser1失敗並不會將自己終止,而只是記錄錯誤。

上圖的PIN輸入提供向Alice惡意軟體發出指令的方法。有三個指令可以輸入:

PIN 指令說明
1010100 解密和植入sd.bat到現在目錄。這個批次檔用來清理/移除Alice。
0 結束程式並執行sd.bat。還會刪除xfs_supp.sys
基於ATM終端ID的特定4位數 開啟「操作面板」

 

如果輸入PIN碼時發生多次錯誤會導致出現以下視窗,並且讓惡意軟體自行終止:

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

 

5、錯誤消息

輸入正確PIN碼可以讓Alice開啟「操作面板」。這是會顯示機器內各個裝錢匣的視窗,讓攻擊者可以找時間偷走。(因為我們是在測試環境執行此惡意軟體,所以示範畫面看不到任何顯示。)

新 ATM 惡意程式 Alice, 專門用來清空自動提款機

6、操作面板

車手可能需要重複操作多次,以吐光裝錢匣內所有的現金。

注意,裝錢匣編號輸入「0」或「9」也會執行sd.bat並刪除xfs_supp.sys

當車手在操作面板輸入裝錢匣編號時,CurrencyDispenser1周邊透過WFSExecute API送出吐鈔指令將儲存的現金吐出。ATM通常有40張鈔票的吐鈔限制,因此車手可能需要重複操作多次以吐光裝錢匣內所有的現金。每個匣中儲存的現金數目會在螢幕上動態更新,因此車手知道離完全清空還要多久。

犯罪分子手動用Alice替換掉Windows工作管理員

Alice通常在受感染系統上以taskmgr.exe出現。雖然惡意軟體本身並不具備持久性方法,我們相信犯罪分子手動用Alice替換掉Windows工作管理員。任何調用工作管理員的指令也會調用Alice。

 

Alice惡意程式不使用ATM 機器實體鍵盤

Alice的功能很精簡,跟我們分析過的其他ATM惡意軟體不同,它只具備清空ATM鈔票的基本功能,只連接CurrencyDispenser1周邊,並不嘗試使用機器的實體鍵盤。合理推測是因為Alice的幕後黑手需要實際上去打開ATM,透過USB或CD-ROM感染機器,然後將鍵盤連到機器主機板來操作惡意軟體。

另一種可能性是透過遠端桌面來經由網路操作,類似泰國的駭客攻擊或其他最近的事件。不過我們還沒有看到Alice被這樣使用。輸入PIN碼到吐鈔間的時間長度顯示Alice被用在現場犯案。 Alice也沒有精心設計安裝或移除機制 – 只需在適當的環境中執行程式就可以運作。

Alice的使用者認證跟其他ATM惡意軟體相似。負責行動的車手從犯罪集團那拿到所需的PIN碼。他們輸入的第一個指令會植入清除腳本,輸入機器特定PIN碼可以讓他們使用操作面板來進行吐鈔。

暴力破解密碼會導致惡意程式自行終止

各個樣本的存取密碼不同,以防止車手繞過犯罪集團來共享密碼,也易於追蹤車手。我們的樣本密碼只有4位數,不過這很容易可以改變。想要暴力破解密碼會導致惡意軟體在達到輸入上限後自行終止。

因為Alice只檢查XFS環境且不執行其他硬體檢查,我們相信它被設計成可以在任何使用Microsoft金融服務擴展中介層(XFS)的硬體上執行。

關於使用加殼器:Alice使用商用VMProtect加殼器,但它並不孤單。我們也發現GreenDispenser使用Themida加殼,Ploutus使用Phoenix Protector加殼等等。

加殼會讓分析和逆向工程變得更加困難。一般惡意軟體已經使用這種技術多年,今日的惡意軟體會使用客製化的加殼器。那為什麼ATM惡意軟體作者才剛開始用加殼和混淆技術?

直到最近,ATM惡意軟體都是惡意軟體世界中的小眾,由少數犯罪集團用高度針對性的方式操縱。目前正處於ATM惡意軟體成為主流的分界點。各個ATM惡意軟體家族已經由許多資安廠商加以徹底分析和討論,這些犯罪分子現在已經開始發現需要將自己從資安界前隱藏起來,避免被發現和偵測。今天,他們使用商用加殼器;明天我們預期會看到他們開始使用客製化加殼器和其他混淆技術。

 

進一步的技術細節及各種ATM惡意軟體比較可以參考附錄

 

入侵指標(IOC

此次分析所用的檔案具備以下SHA256雜湊值:

  • 04F25013EB088D5E8A6E55BDB005C464123E6605897BD80AC245CE7CA12A7A70
  • B8063F1323A4AE8846163CC6E84A3B8A80463B25B9FF35D70A1C497509D48539

 

@原文出處:Alice: A Lightweight, Compact, No-Nonsense ATM Malware 作者:David SanchoNumaan Huq(資深威脅研究員)

 

< 資安新聞週報 > 國內電話開頭「+」100%詐騙/美國法院判決企業應對網路安全缺失負責

盤點 2016 十大資安數字-企業機構篇

2016 年發生了哪些你印象深刻的資安事件? 讓我們用一些資安數字來回顧相關新聞:
上一篇盤點 2016 十大資安數字-一般用戶篇 ,我們分享了以下數據:

  1. 雅虎 5 億用戶資料外洩
  2.  一天8篇文就能推測出你住家位置
  3. 全台每8秒一個裝置受到勒索病毒攻擊!
  4.  48%的人會將撿到的隨身碟插入電腦
  5.  41-45 歲的熟女最易被騙

接下來我們繼續看以下五則:

  1. CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍
  2. 歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式
  3. ATM自動吐鈔,遭盜領8千萬
  4. 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得
  5. 逾14萬台網路攝影機發動史上最大DDoS攻擊

CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

盤點 2016 十大資安數字-企業機構篇

 

✅入侵出納人員電子郵件帳號
✅ 攔截預定好的轉帳交易
✅ 假借高階主管名義寄發郵件
✅下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

延伸閱讀: CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式

最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)
最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。

變臉詐騙案件規模逐年擴張成長,根據最新FBI 6月14日發佈的報告指出, 自2015 年1月以來,企業機構通報的變臉詐騙損失金額成長13倍,造成全球近31 億美元的損失,其中資料顯示多數詐欺性轉帳皆流向位於中國與香港的亞洲銀行。

趨勢科技提供企業6個小秘訣,杜絕變臉詐騙找上門!

  1. 仔細檢查所有的電子郵件:小心來自高階主管的不尋常郵件,詐騙郵件最常使用簡短而含糊的主旨,有時甚至只有一個字,這些都可能為詐騙份子誘騙的動作。此外,針對要求資金轉移的電子郵件需加以確認是否為正確郵件。
  2. 提升員工防詐意識:員工往往是企業資安環節中最脆弱的一環,積極做好員工訓練,仔細審視公司政策,並且培養良好的資安習慣。
  3. 任何廠商變更的匯款資訊,皆必須經由公司另一位人員複核。
  4. 掌握合作廠商的習慣:包括匯款的詳細資料和原因。
  5. 使用電話做為雙重認證機制:透過電話撥打原本已登記的慣用電話號碼,做為雙重認證機制,而非撥打電子郵件當中提供的連絡資訊。
  6. 一旦遇到任何詐騙事件,立即報警或向165反詐騙專線檢舉。

Continue reading “盤點 2016 十大資安數字-企業機構篇”

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

七月台灣發生金融史上頭一遭,ATM自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

 

 Ripper能夠讓提款機吐出大量金錢,也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式,確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能,可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體,認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施,曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術,針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節,這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標(如code offset程式碼偏移量)來讓其他研究人員可以繼續延伸我們的工作。

在今年四月,趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告,可以聯絡Robert McArdleContinue reading “ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體”