清空购物车不可怕,黑客想清空 ATM 机:来,乖乖吐钱-阿里云开发者社区

开发者社区> 玄学酱> 正文

清空购物车不可怕,黑客想清空 ATM 机:来,乖乖吐钱

简介:
+关注继续查看

能力越大,作恶后果就越可怕。

雷锋网说的当然不是爱剁手的女人,而是比清空购物车更可怕的清空 ATM 机。

两年前,卡巴斯基发现了一款新型恶意软件,可直接从 ATM 机上盗取资金,至少有 140 家银行和企业的网络被此类恶意软件感染。遭遇攻击的银行和企业分属 40个不同国家,其中,美国、法国、肯尼亚、厄瓜多尔、英国的大兄弟受到的攻击最严重。

这种恶意软件有个牛气哄哄的背景:它从复杂的计算机蠕虫病毒 Stuxnet 衍生而来,之前,这个软件是由美国和以色列开发,用来攻击伊朗的核设施。

万万没想到,攻击核设施的恶意软件还能用来搞垮 ATM,黑客为了挣钱,条条大路通罗马。黑客还挺狡猾,使用了常见的系统管理软件和安全软件伪装这款恶意软件,大大降低了它被发现的几率。

美国时间 10 月 11 日,外媒又报道,上次揪出了伪装的 ATM 恶意软件,这次卡巴斯基又发现了一个新恶意软件,还给它取了个名字叫“ATMii”。意思很明白了:ATM 2.0 版本!

“ATMii”是个什么鬼

不过,卡巴斯基把这个发现捂在手里大半年才被媒体报道出来。

今年 4 月,卡巴斯基就发现了 ATMii 恶意软件,它会执行两个模块:注射器模块(exe.exe)和要注入的模块(dll.dll),从而从目标机器中偷钱。

清空购物车不可怕,黑客想清空 ATM 机:来,乖乖吐钱

这个恶意软件的安装很简单:直接物理访问或网络访问目标 ATM,安装恶意代码。

卡巴斯基拿到这个恶意软件的样本后进行了分析:注入器是不受保护的命令行应用程序,以 Visual C 语言编写,还在上面搞了个四年前的假编译时间戳混淆视听。恶意代码适用于 Windows XP 以及更高版本的系统,而这些正是大部分 ATM 的运行系统。

同行相轻,黑客界也不例外。

卡巴斯基的研究员一边分析一边吐槽:针对 atmapp.exe(专有ATM软件)进程的注入器写得相当烂,因为它取决于几个参数。如果没有给出来,应用程序就会捕获异常。

下面就是可能只有安全人员才看得懂的 blabla了:

支持的参数包括:

/ load,它试图将dll.dll注入atmapp.exe。

/ cmd,它创建或更新C:\ ATM \ c.ini文件,将命令和参数传递给受感染的库。

/ unload,它尝试从atmapp.exeprocess卸载注入的库,同时恢复其状态。

可用的命令允许分配所需数量的现金,检索有关ATM现金卡的信息,并从ATM中完全删除C:\ ATM \ c.ini文件。

注入DllMain函数后,dll.dll 库加载 msxfs.dll,并使用函数mWFSGetInfo替换WFSGetInfofunction。

注入的模块尝试找到 ATM 的 CASH_UNIT 服务 ID 并存储结果。

如果成功,所有连续的调用将重定向到mWFSGetInfofunction,该函数从C:\ ATM \ c.inifile中解析并执行命令。

卡巴斯基的研究人员提出了两个措施:默认拒绝和设备控制。

第一个措施可以防止黑客在 ATM 的内部 PC 上运行自己的代码,而第二个措施将阻止黑客连接新的设备,比如 U 盘。

让 ATM 吐钱其实很简单

这句话绝对不是雷锋网宅客频道(微信公众号:letshome)瞎编的,但请注意,这是有水平的黑客自己说的。

事实上,今年9月,卡巴斯基还曝光了一款ATM 恶意软件“ATMitch”,这个恶意软件可让攻击者非法取款,然后可自行删除记录。

ATMitch 恶意软件攻击的第一阶段需要获取银行系统的访问权限,然后使用开源或其他公开可用的公用程序来控制系统以及攻击其他 ATM 。由于它在内存中运行,这种无文件恶意软件会在受感染系统重启后消失。

早在 2016年,卡巴斯基实验室渗透测试专家就在题为《采用恶意软件(和非恶意软件)方式攻破ATM机》的演讲中,深度剖析了 ATM 机易受攻击的原因。

卡巴斯基给出的原因不多不少,有七条:

1.ATM 机本质是一台电脑。就算装了工业控制器,在 ATM 机系统里说了算的还是传统的 PC 电脑。

2.在 2016年的演示中,卡巴斯基称,演示的那台 PC 电脑有很大可能是由非常老旧的操作系统所控制,例如:Windows XP。由于微软不再提供技术支持,所有零日漏洞将永久存在且没有任何补丁修复。不少黑客对雷锋网(公众号:雷锋网)表示:就算微软常常发补丁,大家打补丁的速度还是跟不上,尤其是工控设备,一次更新你以为闹着玩哦!

上述也提到,ATMii 针对的还是Windows XP 和更高版本的系统。

3.ATM 机里运行了很多有漏洞的软件。系统有漏洞还不算,安装的软件继续补刀。

4.卡巴斯基称,ATM 机生产商似乎一厢情愿地认为 ATM 机 总是”正常工作”,且永远不会出错。因此,没有任何软件的完整性控制,也未安装任何反病毒解决方案,更不用提对向自动提款机发送命令的应用程序的安全认证。

5.安全人员吐槽:ATM 机看上去做得那么坚固,用的材料也是极好的,但为什么 ATM 机的电脑外壳却是由塑料造的?最好的也只有薄金属保护,这个锁就更简单了,这不是轻易让人就能破掉吗?

6.ATM 会与处理中心联网。

7.ATM 机模组通常连有各种标准接口,比如,COM和USB端口。有时这些接口就按在机柜外部,任何人都能轻松访问。即使未按在外部,犯罪分子也能想出各种办法连接这些端口。



本文作者:李勤
本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4478 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5456 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
5724 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
443 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
1129 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3227 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16814 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
17436
文章
438
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载