博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
新款ATM恶意软件Alice 可对抗动态分析 但目前需要物理接触主机
阅读量:5954 次
发布时间:2019-06-19

本文共 2200 字,大约阅读时间需要 7 分钟。

趋势科技(Trend Micro)安全公司的研究人员警告称,新发现的恶意软件家族主要针对ATM机(自动取款机),唯一目的就是要掏空ATM机保险箱里的现金。

alice软件是什么

这款恶意软件被称为“Alice”,是迄今最大的ATM威胁。Alice没有窃取信息的功能,甚至无法通过ATM机的数字键操控。Alice最早发现于2016年11月,但被认为自2014年起就已存在。趋势科技表示,虽然这类威胁已存在九年多时间,Alice只是至今见到的第8个ATM恶意软件家族。

使用恶意软件要求物理连接到ATM机。趋势科技表示,恶意软件被设计成钱骡,以窃取受攻击ATM机内的所有现金。去年,恶意软件GreenDispenser就是这样做的。

然而,与GreenDispenser不同,这种新威胁并没有连接ATM机的密码键盘,可通过远程桌面协议(RDP)来使用,但趋势科技表示,目前并没有证据表明此类使用方法。

新款ATM恶意软件Alice 会侦测当前运行环境是否ATM机

恶意软件分析显示,Alice(二进制版本信息中包含此名称)中有一个名为“VMProtect”的商业化、现成的软件包/混淆器,可防止调试器内部的执行。此外,该恶意软件可在执行前进行环境检查,如果发现不是运行在ATM机上,则会自行终止(它会检查多个注册表键,并需要在系统上安装特定的DLL)。

在机器上运行时,Alice在根目录下对两个文件进行写操作:名为xfs_supp.sys、大小为5 MB+的空文件和名为TRCERR.LOG的错误日志文件。接着,它连接到XFS环境中的分配器(currencydispenser1),如果PIN码正确,它将显示各个钞箱的信息,并取走机器里的现金。

由于恶意软件只连接currencydispenser1,但并未尝试使用机器的密码键盘,研究人员认为,攻击者只是通过物理方式打开ATM机并通过USB或光盘进行感染。并且,研究人员还表示,攻击者将键盘与ATM机的主板进行连接,并通过这种连接来操控恶意软件。

安全研究人员发现,Alice支持以下三个通过具体PIN码发布的命令:用于丢弃卸载文件的命令、用于退出程序并运行卸载/清除程序的命令,以及用于打开“操作面板”的命令。操作面板中可显示ATM机中的现金信息。

PIN Code Description of Command
1010100 Decrypts and drops file sd.bat in current directory. This batch file is used to cleanup/uninstall Alice.
0 Exits the program and runs sd.bat . Also deletes xfs_supp.sys .
specific 4-digit PIN based on ATM’s terminal ID Opens the “operator panel”.

operator%20panel.png

就在这个界面上 攻击者就可以控制ATM机吐钞票了

攻击者只需输入钞箱ID,ATM机就会为其分配现金。分配命令通过WFSExecute API发送至CurrencyDispenser1。通常,ATM机都有每次40张钞票的分配限制,攻击者执行重复操作就可以清空钞箱中存放的所有现金。屏幕上会动态显示剩余现金的信息。这样,攻击者就知道钞箱何时已被清空。

趋势科技认为,攻击者手动更换了已感染Alice恶意软件的目标机上的Windows任务管理器,因为恶意软件通常是在受感染的系统上以taskmgr.exe的形式被发现的。Alice并没有持续的方法,但将它作为任务管理器运行意味着每次发出调用任务管理器的命令时都会调用Alice。

“在现金分配前需要输入PIN码,这表明Alice恶意软件只用于个案攻击。Alice恶意软件没有精心的安装或卸载机制—它的工作原理仅是在适当的环境中运行可执行文件。”研究人员如是说。

PIN认证系统类似于其他ATM恶意软件家族所用的系统,但前者还提供恶意软件作者,能够控制访问Alice的人。通过改变样本之间的访问代码,恶意软件作者可防止钱骡共享代码,或者可跟踪个人钱骡,或两者都可以。

所分析样本中使用的是四位密码,但其他样本中可能会使用更长的PIN码。PIN码不能被暴力破解,因为Alice在自行终止和显示错误信息前接受输入限制。研究人员还认为,Alice可运行在配置使用微软扩展金融服务中间件(XFS)的任何厂商硬件上。

趋势科技表示,

“现在,ATM恶意软件属于恶意软件中的利基类,被数个犯罪团伙用于高针对性的攻击中。我们现在正处于ATM恶意软件日渐成为主流的时期。”

钱骡是什么

钱骡(Money mule)指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地。Money mule这个说法是在drug mule(药骡)的基础上衍生出来的。

小编:这不就是网络洗钱的人嘛

原文发布时间:2017年3月24日 

本文由:securityWeek 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/new-atm-malware-alice

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

转载地址:http://bnpxx.baihongyu.com/

你可能感兴趣的文章
鸟哥的linux私房菜-shell简单学习-1
查看>>
nagios配置监控的一些思路和工作流程
查看>>
通讯组基本管理任务三
查看>>
Centos下基于Hadoop安装Spark(分布式)
查看>>
3D地图的定时高亮和点击事件(基于echarts)
查看>>
mysql开启binlog
查看>>
设置Eclipse编码方式
查看>>
分布式系统唯一ID生成方案汇总【转】
查看>>
并查集hdu1232
查看>>
Mysql 监视工具
查看>>
从前后端分离到GraphQL,携程如何用Node实现?\n
查看>>
Linux Namespace系列(09):利用Namespace创建一个简单可用的容器
查看>>
nginc+memcache
查看>>
linux下crontab实现定时服务详解
查看>>
Numpy中的random模块中的seed方法的作用
查看>>
用java数组模拟登录和注册功能
查看>>
关于jsb中js与c++的相互调用
查看>>
UVA 122 Trees on the level 二叉树 广搜
查看>>
POJ-2251 Dungeon Master
查看>>
tortoisesvn的安装
查看>>