海外1核2G服務器低至2折,半價續費券限量免費領取!

搜搜吧

搜搜吧 門戶 安全 網絡安全 查看內容

這個名為“艾麗絲”的惡意軟件只干一件事 把ATM的現金掏空

2017-3-17 10:23| 發布者: 俄羅斯方塊| 查看: 1634| 評論: 0

摘要: 該新惡意軟件家族名為“艾麗絲”(Alice),是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能,甚至不能通過ATM的數字小鍵盤進行控制。雖然是在2016年才首次被發現,艾麗絲據信2014年左右便已出現,趨勢科技稱 ...

該新惡意軟件家族名為“艾麗絲”(Alice),是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能,甚至不能通過ATM的數字小鍵盤進行控制。

atm-malware

雖然是在2016年才首次被發現,艾麗絲據信2014年左右便已出現,趨勢科技稱這僅僅是迄今為止的第8個ATM惡意軟件家族——雖然此類威脅早已在我們身邊長達9年多了。

艾麗絲需要能物理接觸到ATM機才能使用,趨勢科技認為其設計目的是為了讓錢騾偷走被攻擊柜員機里所有現金。該功能在去年便被發現過,當時的執行軟件名為GreenDispenser。

但是,與老款不同,這一新威脅不連接ATM機的密碼輸入鍵盤,且能通過遠程桌面協議運作。雖然趨勢科技稱至今尚未發現此類用例。

惡意軟件分析發現:艾麗絲(該名字在惡意軟件二進制文件的版本信息中有包含Alice字樣)采用了一款名為VMProtect的商用加殼/混淆器進行打包,防止在調試器中被運行。而且,該惡意軟件還會在運行之前檢查自身環境,只要發現自己不是運行在ATM機上就會終止進程(主要檢查幾個注冊表鍵和系統上是否安裝有特定DLL)。

若運行在ATM機上,艾麗絲會在根目錄寫入2個文件,5 MB+大小的空文件xfs_supp.sys,以及名為TRCERR.LOG的錯誤日志文件。然后,它會連上CurrencyDispenser1外設,也就是XFS環境中的吐鈔設備。只要輸入正確的密碼,CurrencyDispenser1就會顯示ATM機內各個錢匣里所裝鈔票的信息。

由于該惡意軟件只連接CurrencyDispenser1外設,而不嘗試使用機器的密碼輸入鍵盤,研究人員認為,攻擊者是物理打開ATM機并通過USB或光驅感染機器的。另外,攻擊者還將鍵盤連接到了ATM機的主板上,通過這個鍵盤來操作惡意軟件。

艾麗絲支持3個指令,每一個都通過特定PIN碼發送:其一是釋放卸載文件,另一個是推出程序并執行卸載/清理操作,第三個則是打開“操作面板”。該面板就是ATM內可用現金信息的展示板。

攻擊者只需輸入錢匣的ID便可讓ATM機吐光鈔票。吐鈔指令通過WFSExecute編程接口發送給CurrencyDispenser1外設。因為ATM機通常會有吐鈔數量限制,攻擊者可能需要多次重復同樣的操作,才能清空ATM機里錢匣存放的所有鈔票。剩余可用現金的信息會動態顯示在屏幕上,攻擊者可據此知曉錢匣什么時候被清空。

趨勢科技認為,攻擊者用艾麗絲手動替換了目標ATM機上的Windows任務管理器,因為被感染系統上發現的該惡意軟件通常是以taskmgr.exe的形式存在的。該惡意軟件沒有長期駐留方法,但以任務管理器的形式運行,意味著每次系統發出啟動任務管理器的指令,艾麗絲就會被啟動。

吐鈔前的PIN碼輸入操作,揭示出艾麗絲只能用于現場攻擊。它既沒有精心謀劃的安裝機制,也沒有縝密的卸載機制,就是通過在合適的環境中運行可執行文件來起效。

PIN驗證系統與其他ATM惡意軟件家族使用的類似,但同時也給艾麗絲的作者提供了對其使用者的授權控制。通過修改各樣本的訪問碼,作者既能防止錢騾共享惡意軟件代碼,又能追蹤單個錢騾。

被分析的樣本使用了4位數字的口令,但其他樣本或許使用的是更長的PIN碼。該PIN碼不能被暴力破解,因為艾麗絲有輸入次數限制,超過次數就會自我了斷并顯示一條錯誤消息。研究人員還認為,Alice可在任意使用了微軟擴展金融服務中間件(XFS)的硬件上運行。

直到最近,ATM惡意軟件在惡意軟件世界中都還是利基類別(注:利基是指某些空白的細分領域),被一小撮犯罪團伙以高度針對性的方式使用。但我們正處在ATM惡意軟件逐漸成為主流的節點上。

搜搜吧社區溫馨提示:
搜搜吧(www.swmhpc.tw)十分重視網絡版權及其他知識產權的保護,針對網絡侵權采取如下版權政策:
1、本站有理由相信網友侵犯任何人的版權或作品,(圖文,文字,下載,視頻,非法傳播),本站有權不事先通知即刪除涉嫌侵權的作品和內容
2、本站將采取必要的網絡技術手段,確認為侵權作品或內容的用戶有權進行警告、屏蔽、刪除的行為,盡可能的防止侵權行為的發生
3、搜搜吧影視資源均收集自互聯網,沒有提供影片資源存儲,也未參與錄制上傳,若本站收錄的資源涉及您的版權或知識產權或其他利益,我們會立即刪除
4、搜搜吧,刪帖,投訴,舉報,侵權,若本站侵犯您的權益,附上身份及權利證明,請直接發送郵件到 [email protected] 我們將在一個工作日內刪除

鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

資訊分類

推薦圖文

文章排行

Powered by www.swmhpc.tw X3.4© 2013-2019 搜搜吧社區 小黑屋|手機版|地圖|關于我們|騰訊云代金券|幫助中心|soso吧社區
廣告服務/項目合作: [email protected]  侵權舉報郵箱: [email protected]  搜搜吧建站時間:創建于2013年07月23日
免責聲明:本站所有的內容均來自互聯網以及第三方作者自由發布,版權歸原作者版權所有,搜搜吧不承擔任何的法律責任,若有侵權請來信告知,我們立即刪除!

GMT+8, 2019-12-7 15:56 , Processed in 1.090865 second(s), 11 queries , Gzip On, MemCache On.

返回頂部
2019女子排球比分规则