青松資訊:警惕黑市上正熱銷的ATM惡意軟體
ATM系統看起來非常安全,但實際上是,只要知道了系統的執行原理,ATM機裡的錢款可以輕而易舉被盜取。犯罪分子利用硬體和軟體漏洞與ATM機進行互動,這意味著對於ATM系統來說,安全對他們是更為關鍵的需求。
令人擔憂的是,ATM惡意軟體以及其操作手冊非常容易被獲取,任何人都可以在黑市上以大概5000美元的價格買到它。
背景
在今年5月,其實我們已經在某論壇上發現了針對特定ATM系統的ATM惡意軟體的廣告貼。該廣告貼包含了一個惡意軟體工具包的簡短描述。而這個惡意軟體是在特定的API幫助下來實現盜取ATMs裡的錢款,並不需要與ATM使用者和他們的資料進行互動。這個帖子最初發表在AlphaBay暗網市場上,不過最近已被撤下。
廣告發布
在AlphaBay市場上釋出的一個帖子
我們在研究時發現,這個工具包的定價是5000美元,AlphaBay描述包括一些細節,如所需的裝置,目標ATMs模型,以及惡意軟體操作的提示和技巧。同時,它還包含了工具包的詳細手冊的一部分。
AlphaBay市場上的描述截圖
之前描述的ATM惡意軟體Tyupkin也在上文中提到。使用手冊“Wall ATM Read Me.txt“用蹩腳的英語語法編輯,並以純文字格式分發。俚語和語法錯誤的使用表明,這篇文章最有可能是由一個俄語母語者撰寫。
部分使用手冊截圖
手冊提供了一張詳細的圖片,雖然只顯示完整手冊的一部分,但對於分發過程的每一個步驟都有基本描述:
準備所有的工具,所有的程式都應該放置在一個快閃記憶體盤上。
工具包括無線鍵盤、usb集線器、usb資料線、usb介面卡、Windows 7膝上型電腦或平板電腦(執行程式碼生成器)和一個鑽頭。
找到一個合適的自動取款機
開啟ATM門,插入USB埠。
執行探測器以檢視所有ATM現金盒的完整資訊。
執行CUTLET MAKER獲得它的程式碼。
在平板電腦上執行密碼生成器,或者在膝上型電腦和剪貼簿製造商程式碼上,將結果密碼設定為CUTLET MAKER。
從所選的現金盒中分配錢款。
使用手冊提供了所有工具的操作說明。該工具包的惡意軟體列表由CUTLET MAKER ATM惡意軟體(主要元素)組成,其中包括一個密碼生成器和一個探測器——一個用於收集目標ATM的現金盒狀態的應用程式。惡意軟體工具包一般是由不同的作者編寫的程式集合,儘管CUTLET MAKER和探測器通常擁有同等的保護程式,但c0decalc是一個簡單的基於終端的應用程式,沒有任何保護。
簡單有效的程式組合:CUTLET MAKER、c0decalc和探測器
第一個程式名為 “CUTLET MAKER”,它被設計用於在特定的供應商ATMs上操作現金分配過程。
為了回答這個問題,我們必須解釋“CUTLET”這個詞的含義。最初,它意味著一個肉菜,但作為一個俄羅斯俚語——“肉片”(котлета)意味著“一捆錢”,這表明惡意軟體背後的罪犯可能以俄羅斯為母語。
“Cutlet Maker”惡意軟體的功能表明,整個盜竊過程應該由至少兩個人來操作——角色被稱為“drop”和“drop master”。使用CUTLET MAKER的分配機制是存在密碼保護的。因此可能需要專人來使用c0decalc應用程式來生成密碼,在應用程式文字區域中輸入程式碼,並與使用者介面互動,需要對ATM進行網路或物理訪問。
探測器可能是由同一作者開發的。它的目的是檢索和顯示特定供應商ATM現金盒的狀態資訊(例如貨幣、價值和票據數量)。
Cutlet Maker和c0decalc
Cutlet Maker是負責從ATM機中分發錢款的主要模組。
使用紅色矩形標記的程式碼
為了開啟應用程式,需要輸入來自c0decalc生成器的密碼,從而響應給定的挑戰程式碼。如果密碼不正確,介面將不會對任何進一步的輸入作出反應。
每個“check heat”和“start cooking”按鈕對應於特定的ATM現金盒。標有“check heat”的按鈕可以分發一條記錄,“ start cooking”可以分發50個“小片”,每一小片都包含60條記錄。“stop”按鈕可以中止正在進行的“start cooking”過程。“Reset”旨在重置分發流程。
c0decalc為CUTLET MAKER提供密碼生成器
這個工具是一個不受保護的命令列應用程式,在Visual c中編寫完成。這個應用程式的目的是為CUTLET MAKER的圖形介面生成一個密碼。
輸入“123456“後的輸出示例結論
這種型別的惡意軟體不會直接影響銀行客戶,它的目的是盜竊特定供應商ATMs的現金。CUTLET MAKER和探測器顯示了罪犯是如何使用合法的專有庫和一小段程式碼從ATM機中分配錢款的。
針對此類攻擊的安全對策也很簡單,最簡單的一個措施是防止犯罪分子在ATM的內部PC上執行自己的程式碼。在這些攻擊中,ATMs很可能是通過對PC的物理訪問被感染的,這意味著犯罪分子可以使用USB驅動器在機器上安裝惡意軟體。在這種情況下,使用裝置控制軟體將阻止他們連線新的裝置,從而防止惡意軟體的安裝。
— end —
*本文由青松編譯,轉載請註明。