暗网:ATM攻击软件的商品化
当趋势科技在2015年开始分析地下市场的恶意样本时,发现ATM相关的恶意软件并不常见。在当时,南美洲和俄罗斯的一些犯罪团伙集中研究了ATM机器的工作原理,并制作了专门的软件来攻击它们,此事名噪一时。ATM机器和我们一般使用的Windows环境有很大的不同,攻击者需要了解很多特殊的API接口以及它们是如何与特定的银行应用交互的。
此后,我们与Europol的欧洲网络犯罪中心(EC3)合作,向公众宣传了针对ATM的不同种类的网络威胁以及发展趋势。接下来我们不停针对ATM所面对的威胁发出自己的声音,并写了一篇文章详细介绍多年来出现的ATM恶意软件家族。
现如今,在ATM恶意软件领域我们观察到了很多最新的变化,但最重要的一点不是和技术有关:ATM恶意软件已经成为地下网络犯罪论坛的一个共同而显著的特征,它已经是攻击者用来窃取现金的武器库的一部分。ATM恶意软件已经成为一种普通的商品,任何一个投资1000美元的罪犯都可以立即开始攻击ATM。
值得注意的是,这些恶意软件来自讲俄语的销售商。这当然并不代表南美黑客组织已经停止攻击ATM,而是表示俄罗斯的黑客组织拥有一个更加活跃、繁荣的非法市场,那里的恶意软件需求旺盛。
ATM恶意软件101:犯罪建议和在线帮助
当你购买网络犯罪产品时,不仅仅会得到恶意软件,通常,这些软件的销售商还会提供使用指导、建议和故障排除指南。
举个例子,最广为人知的ATM恶意软件之一,Cutlet Maker,详细描述了成功攻击所需的硬件,以及程序的详细使用说明。
Cutlet Maker软件的主要一部分:对ATM品牌和型号的描述,以及攻击它所需的设备
除了通用的“用户手册”外,卖家还分享了关于如何在不同环境下进行软件故障排除的建议。以下是本指南引言的翻译:
“原始手册和第二个手册概述了软件工作所需的所有条件。Tav真的拥有一切。而在这本手册中,我将介绍如何克服有可能出现的困难,这充分结合了我自己的经验。”
我们无法确定这段话中的“Tav”是指恶意软件还是手册的编写者,亦或是该恶意软件的内部名称。这份文档将手册的作者标识为“Bogdan”。
上图是Cutlet Maker故障排除指南的屏幕截图。作者介绍了ATM机的USB端口位置,以及如何设计一个连接USB电缆和访问内部USB端口的工具。
这份指南还详细描述了ATM机器的内外部细节。以下是卖家建议的翻译:
“我们需要的端口位于ATM上方塑料盖的后面,紧贴其后的往往是银行的广告纸。这个盖子通过三点固定,它们分别位于塑料盖的左上侧、中间和右侧。轻轻地撬动工具,避免盖子破裂,然后将其放在ATM的顶部。接下来我们拿出一个手电筒往里照,可以看到了以下画面:”
以上图片描述了一旦移除内部USB端口的面板,攻击者将看到什么。卖家还提供了一些使用手机的建议,以躲避执法部门的追踪。
除此教他人如何物理攻击ATM,卖家还会提供一些软件技术支持。例如,如果目标计算机受防病毒程序保护,如何禁用已安装的安全软件。
“就像禁用Adobe服务一样。我们先进入任务管理器的“Startup”选项卡,取消其开机运行。然后进入防病毒软件文件夹c:/program…/our antivirus/,将.exe的名称更改为任何其他名称。
你现在已关闭防病毒软件,可以从闪存中运行恶意软件了。”
以上这种方法是一种很简单的方法,不适用于更先进的ATM安全解决方案。但是,并不是所有的ATM都使用了最新的安全方案。
上图主要说明如何禁用防病毒程序。
案例研究:ATM恶意软件经销商
ATM恶意软件正在成为地下犯罪论坛中的常见产品,它也不再是以前那种奇特或小众的东西了。一个卖家甚至可以提供了多个种类的ATM恶意软件。这些卖家也不是恶意软件的作者,他们基本上都是经销商,从销售中提成的。
上图为一个地下犯罪论坛的恶意软件列表。
以上为三个地下犯罪论坛的软件列表,显示同一卖家提供了不同种类的ATM恶意软件。
在浏览这些犯罪论坛时,我们注意到了一个专门出售ATM恶意软件的经销商,我们决定仔细查看用户的个人资料。M_xxxxx发布了多个帖子,在论坛上兜售许多不同种类的ATM恶意软件。
根据其买家和其他论坛用户的评论,这个用户似乎不是这些软件的原始作者,只是个经销商。这个人在多个帖子中表示:“我以更低的价格销售相同的软件”。此外,此人还有视频说明,演示恶意软件的工作原理,视频发布在网站Darkvideo上。不过,也有其他论坛用户指责这个卖家销售的软件无效。他旁注中的俄语像是用机器翻译的,这意味着他的母语不是俄罗斯语。
M_xxxxx的各种ATM恶意软件的价格如下:
Winpot——1000美元
HelloWorld——1000美元
Annuit Coeptis——500美元
Alice——300美元
Cutlet Maker——200美元
ATM恶意软件或将影响银行安全
在过去两年中,地下犯罪论坛中提供的ATM恶意软件数量显著增加。这种类型的恶意软件过去只专属于知名犯罪团伙,现在正成为一种主流工具,很多人都有购买意向。总而言之,任何有几百美元的犯罪分子都可以攻击ATM了。
有些恶意软件纯粹是骗局,但另外一些似乎能正常攻击。事实上,我们已经看到不少买家的好评,特别是一些知名的恶意软件,更是广受欢迎。这让人想起银行木马的那段“群雄逐鹿”的时代。
虽然不少针对ATM的攻击手段还很低级,但不幸的是,这个世界还存在很多无保护的ATM机,可能只有发生大规模的ATM攻击,这种情况才会逐渐改善。
请记住,随着时间推移,那些未受保护的ATM遭受攻击的风险会疯狂增加。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2740.html
来源:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/crimeware-for-sale-the-commoditization-of-atm-malware-in-the-cybercriminal-underground?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0619_atm