盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

 

資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出,該集團曾經攻擊美國和俄羅斯的金融機構,並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。

盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

MoneyTaker 是什麼?

MoneyTaker 是一個網路犯罪集團,其名稱來自該團體所用的客製化惡意程式,此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統,然後再雇用一群車手到 自動提款機 (ATM) 前提款。

MoneyTaker運作至今至少有 18 個月之久,他們下手的對象包括:信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示,該集團目前也開始拓展版圖至拉丁美洲企業,甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年,歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行,使得該銀行至少損失 8,100 萬美元

[資安基礎觀念:商業流程入侵 (Business Process Compromise)]

MoneyTaker 是如何將錢從銀行偷走?

MoneyTaker 基本上使用的是無檔案式惡意程式,這類惡意程式不需下載檔案,亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行,或者躲藏在系統登錄內,以長期潛伏。典型的無檔案式攻擊技巧包括:將惡意程式碼直接注入現有執行程序當中,或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團,該集團已從金融機構得手超過 4,500 萬美元。 Continue reading “盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?”

無檔案式攻擊,經由 USB 隨身碟入侵電腦

趨勢科技曾經在今年的八月初探討過一個後門程式 (趨勢科技命名為 BKDR_ANDROM.ETIN) 是經由 JavaScript 惡意腳本 (JS_POWMET.DE) 以無檔案的形式進入受害系統。當時我們並不曉得該後門程式是如何進入受害系統,我們猜測它要不是經由使用者不小心下載到電腦上,不然就是經由其它惡意程式植入系統。

最近我們終於知道它的確切入侵途徑:它不是被其他惡意程式植入,也不是經由使用者下載,而是經由 USB 隨身碟感染。

無檔案式攻擊,經由 USB 隨身碟入侵電腦

技術細節

這個 USB 隨身碟上包含兩個惡意檔案 (趨勢科技將兩者皆命名為 TROJ_ANDROM.SVN),檔案名稱分別為:

  • addddddadadaaddaaddaaaadadddddadda
  • IndexerVolumeGuid

此外也可能會用到一個捷徑檔案,捷徑的目標指向「%System%\cmd.exe /c start rundll32 {一個名稱很長的 DLL 程式庫檔案},{DLL 匯出的函式名稱}」。歹徒刻意將捷徑檔案的名稱取得跟隨身碟磁碟名稱相同,以誘騙使用者點選該檔案 (我們將此捷徑檔案命名為:LNK_GAMARUE.YYMN)。

惡意程式碼經過解密之後將直接載入記憶體中執行。此處,解密程式的檔案名稱就是加密金鑰。在感染過程中,沒有任何檔案會實際儲存到受害系統上。

解密後的程式碼會在系統登錄當中加入開機自動執行機碼,從這裡開始就銜接到我們上一篇分析文章描述的情形,所以此處不再重複說明整個感染過程,不變的是,系統最終將感染 BKDR_ANDROM.ETIN 後門程式。

無檔案式攻擊,經由 USB 隨身碟入侵電腦

圖 1:完整感染過程。 Continue reading “無檔案式攻擊,經由 USB 隨身碟入侵電腦”

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

 

作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

無檔案病毒很難被分析和偵測。所以也並不令人驚訝地有越來越多惡意軟體利用此手法,讓偵測和鑑識都更加困難。趨勢科技最近發現一個新的數位貨幣採礦病毒:TROJ64_COINMINER.QO,也利用了此一技術。

亞太區為重度感染區,台灣排名第三

這隻病毒散播七月首次現身在亞太地區。根據趨勢科技主動式雲端截毒服務  Smart Protection Network 的統計,受此威脅最嚴重的國家前三名依次為:日本、 印尼和台灣。

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

圖1、2017年7月至8月的TROJ64_COINMINER.QO感染分佈

 

無檔案病毒WMI腳本加上EternalBlue 漏洞,讓此威脅更刁鑽

此威脅利用WMI(Windows管理規範)作為無檔案感染的持久性機制。具體來說,它利用 WMI Standard Event Consumer腳本程式(scrcons.exe)來執行它的腳本。為了進入系統,這惡意軟體利用了EternalBlue永恆之藍漏洞 – MS17-010。無檔案病毒WMI腳本加上EternalBlue漏洞讓此威脅變得既隱蔽又具備持久性。

TROJ64_COINMINER.QO數位貨幣採礦病毒的感染分成幾個階段。感染流程從MS17-010開始;這漏洞被用來在系統安裝和執行一個後門程式(BKDR_FORSHARE.A),它會安裝數個WMI腳本。這些腳本接著會連到C&C伺服器來取得命令和下載數位貨幣採礦病毒及其他元件。

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

圖2、感染流程

 

利用WMI- Windows的核心元件,達到持久性

WMI是Windows的核心元件,通常被用於日常管理工作,例如部署自動化腳本、在給定時間執行程序/程式、取得已安裝應用程式或硬體的資訊、監視資料夾內的變化和監視磁碟空間等。然而,到了網路犯罪份子手上就會被用在惡意用途,就如趨勢科技在報告了解WMI惡意軟體中所探討的那樣。這案例中所用的技術跟報告內提到的樣本(我們偵測為TROJ_WMIGHOST.A)非常類似。

下面類別在滿足特定條件後會用來觸發惡意WMI腳本:

  • ActiveScriptEventConsumer
  • __EventFilter
  • __IntervalTimerInstruction
  • __AbsoluteTimerInstruction
  • __FilterToConsumerBinding

 

惡意WMI腳本可以從ROOT\subscription名稱空間底下的ActiveScriptEventConsumer類別找到。 ActiveScriptEventConsumer是持久性有效載荷,包含了當條件滿足時會執行的命令。在此例中,它包含在條件滿足時會執行的惡意JScript。 Continue reading “無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三”