资源分享

让ATM机自动吐钱的恶意软件

字号+ 作者:xiaohui 来源:转载 2017-01-03 14:48 我要评论( )

近日网络安全服务商趋势科技与欧洲刑警组织的欧洲网络犯罪中心(Europol EC3)联合发现了一款新的入侵ATM的恶意软件- Alice,Alice能够将ATM的保险柜金洗劫一空,......

hacking-ATM.jpg

近日网络安全服务商趋势科技与欧洲刑警组织的欧洲网络犯罪中心(Europol EC3)联合发现了一款新的入侵ATM的恶意软件- Alice,Alice能够将ATM的保险柜金洗劫一空,不用任何银行卡,不用输入密码就能让里面的现金分分钟易主。

其实使用恶意软件来入侵ATM在刑事系统中是很常见的。在过去,安全专家们已经发现了一些类似图的恶意软件。比如Tyupkin(Padpin),Ploutus,padpin,suceful,GreenDispenser。

Alice的独特之处

Alice在2016年11月首次被发现,刚开始研究人员推测Alice很可能是Tyupkin(Padpin)的最新变体,但经过进一步的调查, 专家们发现Alice是个全新的ATM恶意攻击软件。趋势科技表示:“Alice很明显与与其他ATM恶意软件不同,Alice没有信息窃取的功能,只是 用来洗劫ATM保险柜的。”根据研究人员的分析,使用Alice的犯罪分子必须先得物理接触到目标ATM,这表明很大程度上是内鬼所为、或者银行员工在安 装时没能留意到程序有被恶意软件所修改过。安全人员说:“攻击者会输入PIN码来洗劫ATM机,而且作案之后,Alice也不会特意的对自己进行卸载,它 只通过在适当的环境中运行可执行文件来实施犯罪。”

Alice不像早先的GreenDispenser恶意软件那样,具有很强的隐蔽功能,GreenDispenser这款恶意软件附加了深度删除功 能,以便攻击者在把钞箱洗劫一空之后,清除掉自己留下的踪迹。据说Alice也可以通过远程桌面协议(RDP)使用,但研究人员目前没有发现这种使用的痕 迹。

Alice的运行过程如下:

当 Alice执行时,它在根目录中创建一个空的5 MB大小的文件,名为xfs_supp.sys并显示出一条虚假的错误日志文件TRCERR.LOG。 xfs_supp.sys用零填充,但不包含数据,TRCERR.LOG会跟踪任何XFS API调用的相关消息或错误。即使恶意软件被删除,该文件仍会 保留在计算机上,可能是以后进行故障排除或者只是因为vxers忘记删除它。

360反馈意见截图164002259686124.png

“自动取钱”详情

研究人员注意到,Alice仅连接到CurrencyDispenser1外设,并且不包括使用PIN键盘的代码,可能是为了犯罪分子与ATM进行物理访问时通过USB或CD-ROM进行感染。

专家们分析到:

Alice只连接到CurrencyDispenser1外设,它从不尝试使用机器的PIN键盘。这个运行的逻辑应该是,Alice背后的罪犯需要通过USB或CD-ROM对ATM进行物理打开并感染机器,然后将键盘连接到机器的主板,并通过它运行恶意软件。

而其他ATM恶意软件,比如GreenDispenser则能够实现XFS,延伸至专门用于AMT机器的金融服务DLL运行库(MSXFS.dll)。该库提供了一种专用的通讯接口(API),用于与自动取款机的PIN pad和现金分配器进行通信。

Alice恶意软件的代码至今还没有被破解,因为它使用了VMProtect,,VMProtect是一个软件保护软件。通过这个软件保护的代码部分在虚拟机上执行,这使得被保护的程序很难被分析与破解。另外在非ATM的环境中Alice会自动停止运行。

Alice支持以下三个命令,每个命令通过特定的PIN发出:

删除文件以进行卸载。
退出程序运行卸载/清理程序。
打开“操作面板”,查看ATM中可用的现金数量。

一旦Alice进入到ATM的环境中,就会开始攻击,通过钱骡子进入到ATM保险柜,ATM 的屏幕上就会显示现在ATM里每个钞票箱里有多少现金,并且询问犯罪分子要洗劫哪个钞票箱,然后通过WFSExecute API把取钞命令发送到CurrencyDispenser1外设。选择后,ATM会从选定的钞票箱中每次吐出来40张钞票。

不过Alice每次运行的时候都需要犯罪分子来把Windows任务管理器taskmgr.exe重新替换成Alice。


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Share/533.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~