查看原文
其他

银行要小心了,全新Alice ATM恶意软件出现

2016-12-22 E安全 E安全

E安全12月22日讯 作为与Europol EC3合作建立的研究项目的一部分,TrendMicro研究人员发现一种针对ATM设备的新型威胁因素——Alice ATM恶意软件。

来自Trend Micro公司的安全专家们已经发现了一种新型ATM恶意软件,这种被称为Alice的攻击机制旨在针对各类自助式服务ATM设备中的安全保护功能。

此恶意软件非常值得关注,它最大的特点就是不同于其它ATM恶意软件,因为其无法实现数据窃取功能,同时亦不可通过ATM数字键盘进行控制,Alice利用的是原有安全机制清空和实机操作取现。

研究人员们最初于2016年11月首次发现Alice ATM恶意软件,而这项工作为Trend Micro与Europol EC3建立的联合研究项目的一部分,不过他们推测此恶意软件的诞生时间应该在2014年。

在初次发现Alice时,研究人员们曾经怀疑其属于已知ATM恶意软件Padpin的新型变种。但经过进一步调查后,他们发现了Alice属于一种全新恶意软件家族。

“Trend Micro公司发现了一个名为Alice的新型ATM恶意软件家族,这是我们遇到过的最具定制化特性的ATM恶意软件家族。”Trend Micro方面在发布的分析报告中指出,“与其它ATM恶意软件家族不同,Alice无法通过ATM的数字键盘进行控制,亦不包含任何信息窃取功能。其作用单纯只是清空ATM的现有安全保护功能。”

根据研究人员的说法,诈骗分子需要以物理方式访问ATM以清空其分配器,这一迹象表明Alice的设计目标在于实现“钱骡”——即非法财产转移。

研究人员们解释称,“由于在进行资金转账前需要输入PIN码,因此可以认定Alice仅被用于进行现场攻击。Alice并不具备精心设计的安装或者卸载机制——其只能在适当环境中通过运行可执行文件实现功能。”

Alice ATM恶意软件还可通过远程桌面协议(简称RDP)实现运行,但研究人员们还没有发现任何存在此种使用方式的证据。

在Alice处于执行状态时,其会在根目录下创建一个名为xfs_supp.sys的5 MB+大小空文件,外加一个名为TRCERR.LOG的错误日志文件。前一个文件的内容全部为0且不包含任何数据,后一个文件(TRCERR.LOG)则为Alice恶意软件使用的错误日志文件。此日志文件会追踪一切XFS API调用及其相关信息/错误。该文件即使在恶意软件被移除后仍将继续存在于设备中,这可能是为了执行后续故障排查或者单纯只是恶意软件开发者忘记将其正确移除。

研究人员们注意到,该恶意软件只会接入CurrencyDispenser1外设且并不包含任何负责使用PIN数字键盘的代码,这可能是因为其设计目标在于帮助诈骗分子以物理方式使用ATM并利用USB或者光盘对其进行感染。

分析报告进一步补充称,“其只会接入CurrencyDispenser1外设,且不会尝试使用设备上的PIN数字键盘。这在逻辑层面给出了结论,即Alice恶意软件的开发者需要利用USB或者光盘以物理方式接触并感染ATM设备,而后向设备主板接入键盘并借此操作恶意软件。”

Alice ATM恶意软件被包装成名为VMProtect的商用现成打包器/混淆器。该恶意软件能够利用一系列功能避免研究人员对其进行分析,即防止在非ATM及调试器环境下执行。

Alice支持通过特定PIN码执行以下三条命令:

·删除一个文件以进行卸载。

·退出该程序并运行卸载/清理程序。

·打开“操作面板”以查看ATM中的可用现金量。

在攻击场景下,该钱骡会输入目标ATM用于资金分检的钞匣ID,而出钞命令则通过WFSExecute API发送至CurrencyDispenser1外设处。

ATM设备通常设有最多50张出钞量上限,这意味着诈骗分子需要多次重复操作才能取空钞匣中的全部现金。

Alice不具备长期运行的能力,因此攻击者需要手动将Windows任务管理器(taskmgr.exe)替换为Alice,意味着任何调用任务管理器的命令都会转而调用Alice。

这份报告当中还包含有对应危害指标,以下为该恶意软件的SHA256哈希值:

04F25013EB088D5E8A6E55BDB005C464123E6605897BD80AC245CE7CA12A7A70

B8063F1323A4AE8846163CC6E84A3B8A80463B25B9FF35D70A1C497509D48539

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存