收藏 [登录/注册] 欢迎
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 技术支持 > 安全公告

ATM恶意软件发展历程:从物理攻击到基于网络的攻击

ATM恶意软件发展历程:从物理攻击到基于网络的攻击


概述

一个无法否认的现实是:入侵自动取款机(ATM)对于网络犯罪分子而言具有致命的诱惑力。如今,我们经常可以看到有关“取款机疯狂吐钱”的报道,经过调查发现,通过物理方式的skimmer(指通过伪造ATM的一些部件,如读卡器或键盘来欺骗取款者把读取到的密码或者磁卡信息发送到犯罪者手中的设备)以及其他攻击方式是此类案件最常用的手段。

多年来,ATM盗窃行为已经采用了很多种方式:从炸保险柜到借助ATM skimmer设备再到附上虚假键盘来安装可执行的恶意软件。在此过程中,恶意软件为犯罪分子攻击ATM机立下了“汗马功劳”,并开始被其广泛应用于此类攻击活动中。而这种方式之所以能够得到持续运用,最关键的原因是许多目标ATM机仍在使用过时的操作系统,这样的系统无法接收重要的安全更新,所以其系统漏洞也就根本得不到解决。

对于使用恶意软件实施攻击和窃取现金的网络犯罪分子而言,获取ATM机的物理访问权已经成为其最常用的方法。然而,目前这些犯罪分子已经发现了一个更为有效的感染途径,无需插入可移动的驱动器,更不会留下指纹和监控录像等罪证。利用这种方式,可以在ATM机看似无损的情况下将里面的现金洗劫一空。这些ATM机即便不是安放在阴暗的街道、偏远地区或其它不安全地点,也会受到此类攻击的影响。

ATM恶意软件发展历程:从物理攻击到基于网络的攻击


【ATM机的组件】

网络犯罪分子在不断敛取钱财的过程中,又发现了另一种可以通过银行网络来攻击ATM机的方式。值得注意的是,网络犯罪分子入侵银行网络的第一步就是社会工程手段,使银行职员成为攻击感染链中最薄弱的环节。基于网络的ATM盗窃远比物理攻击更为复杂,但它们同时也是一种更有利可图的赚钱方式。

过去几年,趋势科技一直在和欧洲刑警组织欧洲网络犯罪中心(EC3)合作研究ATM恶意软件的发展情况,他们发现,ATM恶意软件作为一种强大的威胁形式正在不断发展演变,其背后的开发者正在继续开发更隐秘的功能来攻击更大规模的ATM机。

ATM恶意软件:物理手段攻击

自2009年发现Skimer恶意软件以来,我们知道了基于物理访问的传统ATM机攻击方式的存在。借助这种恶意软件,犯罪分子可以在获取物理访问权的情况下,利用USB端口或CD-ROM驱动器来感染ATM机。在某些情况下,犯罪分子甚至还可以通过连接一个外部键盘来操作ATM设备。

ATM恶意软件发展历程:从物理攻击到基于网络的攻击


【通过物理手段的老式skimming攻击】

此后,不同类型的ATM恶意软件开始带着各自的功能相继登场,包括可以让ATM自动吐钞的“jackpotting”技术等。2016年,趋势科技和欧洲刑警组织欧洲网络犯罪中心(EC3)合作发现了一款名为“Alice”的新型恶意软件家族。这一通过可执行文件启动的恶意软件能够帮助攻击者清空保险柜,以获取大量现金。

如下所示,安装ATM恶意软件通常需物理访问目标ATM机。一旦在ATM机上安装恶意软件后,网络犯罪分子就可以通过扩展金融服务标准(XFS)中间件向受损设备发送命令,来提取现金。

ATM恶意软件发展历程:从物理攻击到基于网络的攻击


【典型的ATM恶意软件物理攻击实施过程】

ATM恶意软件感染新途径:通过网络实施攻击

现在,银行机构不仅要警惕恶意软件的感染(因为ATM机的安全性很差),还需要考虑攻击者渗透网络的真实可能性。

最近,一场看似远程策划的攻击事件席卷了不同国家的众多ATM机。在这些攻击案例中,网络犯罪分子入侵了银行的内部网络,随后渗透到ATM基础设施中。然而,有趣的是,像这样复杂的技术尚未在美国和加拿大等较大的地区报道过。

举一个影响较大的例子,2016年9月,一款名为“Ripper”的恶意软件席卷了泰国ATM机,据报道,大约盗取了1200万泰铢(约合239万人民币)。这起攻击事件就是犯罪分子通过入侵银行网络,然后将Ripper恶意软件分发到ATM机中导致的。值得注意的是,Ripper是第一个无需犯罪分子物理攻击设备就可以感染ATM机的恶意软件。

ATM恶意软件发展历程:从物理攻击到基于网络的攻击


【典型的基于网络的ATM恶意软件攻击案例】

虽然基于网络的攻击需要比物理攻击做更多的工作,但它们对于网络犯罪分子的吸引力在于无需寻找针对性目标ATM机就能够提取现金。此类攻击涉及向银行职员发送含有可执行文件的网络钓鱼电子邮件。一旦恶意软件被执行,银行的内部网络就会被渗透。犯罪分子通过这种网络访问方式在银行网络内横向移动并控制ATM机,甚至能在单次攻击中同时感染多台设备。一些恶意软件家族甚至还具有自我删除的功能,可以有效地掩盖犯罪活动的大部分痕迹。

大部分ATM机还在运行Windows XP系统

趋势科技和欧洲刑警组织欧洲网络犯罪中心(EC3)的联合报告显示,

全球大多数ATM机仍在运行Windows XP或Windows XP Embedded系统,其中一些较旧的ATM机甚至还在运行Windows NT、Windows CE或Windows 2000. Microsoft。这意味着,全球绝大多数ATM机将不再接收安全更新支持,安全状态堪忧。

WannaCry的爆发证明了,攻击者可以利用不受支持和未打补丁的操作系统实施网络攻击,这意味着,有能力的攻击者可以利用ATM机中的漏洞通过基于网络的攻击,甚至直接关闭设备来敛取财富。趋势科技网络安全解决方案架构师Simon Edwards表示,

如果出现一个蠕虫能够像WannaCry或NonPetya一样大规模破坏网络,那么这种后果不堪设想,绝对有可能击垮整个网络。

然而,这种假设并不只存在于理论中:黑客已经向我们展示了其远程攻击ATM机的能力,像其他许多形式的网络攻击一样,渗透行为开始于一封发送给银行职员的网络钓鱼邮件。一旦其中任何一人点击了邮件,攻击者就能够访问网络的其他部分,而无需多次对设备进行物理访问。

其中一个例子就是ATMitch,攻击者已经使用这种恶意软件远程感染了一家哈萨克斯坦和一家俄罗斯的银行。一旦完成感染,攻击者就可以向受损设备发出远程命令,从而实现窃取资金的目的。

另外一个例子发生在2016年7月,攻击者使用恶意软件访问了位于中国台湾地区的41台ATM机,并在无需银行卡和触摸PIN码的情况下,从台湾第一银行旗下的20多家分行中窃取了共计250万美元的现金。目前该案已经破获,抓获了犯罪嫌疑人,但是并未追回所有被盗资金。

目前,趋势科技和欧洲刑警组织已经将快速发展的“基于网络的ATM恶意软件攻击”视为“不安因素”,因为犯罪分子已经意识到,不仅可以通过物理方式对ATM机进行攻击,还可以通过网络访问并控制这些设备。

虽然,这种攻击形式主要出现在南美洲以及亚洲等地区,但是报告警告称,北美和欧洲等地区在不久前也已经发现了这种类型的攻击活动。报告称,

我们认为这是一种新的攻击趋势,可能会在2017年之后实现爆发。

最后,安全报告警告称,执法部门必须意识到,网络犯罪分子正在使用这种方式加大攻击ATM的力度,金融机构必须采取更多措施进行防范:通过部署更多的安全层来保护自己的ATM安全,例如将设备部署在单独的网络段中;即使更新操作系统、安全更新程序等。