新惡意程式 Tyupkin 攻陷 ATM 機

深夜時分在東歐的某些 ATM 機輸入特定密碼,就能將 ATM 裡面全部現金提走!這不是天荒夜譚,而是一個最近被發現、針對作業系統為 Windows 的 ATM 的新惡意程式 Tyupkin 作業的「成果」。
卡巴斯基實驗的全球研究和分析團隊,對東歐一起針對多款 ATM 機的網路犯罪進行了取證調查。調查過程中,該團隊發現了一款新型的惡意程式Tyupkin,使用了控制活動時段和會話密鑰等技術來躲避檢測,而且一直在不斷演化。事件起於2014年年初,卡巴斯基實驗受到一家金融機構的委託,東歐多款 ATM 機的犯罪活動取證。調查中發現了一款惡意程式 Tyupkin,能夠讓攻擊者直接操縱 ATM 機,掏空其現金箱。Tyupkin活躍在東歐銀行機構所屬的超過 50 個 ATM 機上。根據提交到 VirusTotal 的數據,Tyupkin已經傳播到其他幾個國家,包括美國、印度和中國。

Tyupkin目前影響一個「重要 ATM 製造商」生產的 ATM,前提是其作業系統使用 Windows 的 32 位元版本,並運用了幾項技術來逃避檢測,首先是只在晚間的「某個特定時間」才會啟用,並會為每次連線分配一特定密碼,該密碼是基於隨機種子生成的。只有輸入正確密碼,攻擊者才能看到Tyupkin的界面。Tyupkin會顯示每個現金箱中有多少現金可用,並允許攻擊者直接操作 ATM 從選定的現金箱中取出 40 張鈔票,確保「長取長有」。大部分的分析樣本是在 2014 年 3 月編譯的。在最近的變種版本d 中,實現了反測試 (Anti-debugging) 和抗仿真(Anti-emulation) 技術,並使受感染的系統上禁用 McAfee Solidcore。

根據位於受感染ATM機的安全攝影機所記錄的影像,攻擊者能夠操作 ATM 機,並通過 LiveCD 安裝,複製以下列檔案到 ATM 機中。
C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
經過環境的檢測之後,該惡意程式會移除.lnk文件,並在註冊表中建立一個鍵:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AptraDebug" = "C:\Windows\system32\ulssm.exe"
然後就能通過標準庫 MSXFS.dll(金融服務擴展XFS)與 ATM 機進行互動了。Tyupkin 會執行一個無限循環來等待用戶的輸入,為了更加難以被檢測,預設值下它只在週日和週一的晚「某些時段」接受命令,它接受以下命令。
XXXXXX – Shows the main window.(顯示主窗口)
XXXXXX – Self deletes with a batch file.(通過 batch自動刪除)
XXXXXX – Increases the malware activity period.(增加 Tyupkin 活躍時段)
XXXXXX – Hides the main window.(隱藏主窗口)
輸入命令之後,操作者必須按下 ATM 機鍵盤上的 ENTER。Tyupkin使用密碼防止其他用戶誤打誤撞進入,在輸入「Shows the main window」命令之後,Tyupkin 會顯示「ENTER SESSION KEY TOPROCEED!」,輸入密碼後繼續。Tyupkin 操作者必須了解演算法,並根據所顯示的種子來生成一個密碼。只有當密碼被正確的輸入,攻擊者才可以與受感染的 ATM 機進行交流。然後Tyupkin會顯示以下訊息。
CASH OPERATIONPERMITTED.(允許的現金操作)
TO START DISPENSE OPERATION -(開始取款操作)
ENTER CASSETTE NUMBER AND PRESS ENTER.(輸入現金箱的編號並按 ENTER)
當操作選擇了現金箱的編號之後,ATM機會吐出40張鈔票。當輸入的密碼不正確時,會禁用本地網路並顯示訊息:
DISABLING LOCALAREA NETWORK...(禁用本地網路)
PLEASE WAIT...(請等待)
目前並不清楚 Tyupkin 為什麼要禁用本地網路,可能為了延遲或干擾遠程調查。

過程中並不需要提款卡,因此受害的只是銀行。目前大部分 ATM 使用的都是 Windows ,包括匯豐和恆生的 ATM。只要微軟仍然有一天未提供任何修正,所有 ATM 都有被淘空的可能。調查團隊建議更改所有的 ATM 機預設的 Upper pool lock,避免使用供應商提供的預設密碼,並考慮只給 ATM 加入僅夠一天活動所需的現金。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *