ATM惡意軟體發展歷程：從物理攻擊到基於網路的攻擊

概述

一個無法否認的現實是：入侵自動取款機（ATM）對於網路犯罪分子而言具有致命的誘惑力。如今，我們經常可以看到有關「取款機瘋狂吐錢」的報道，經過調查發現，通過物理方式的skimmer（指通過偽造ATM的一些部件，如讀卡器或鍵盤來欺騙取款者把讀取到的密碼或者磁卡信息發送到犯罪者手中的設備）以及其他攻擊方式是此類案件最常用的手段。

多年來，ATM盜竊行為已經採用了很多種方式：從炸保險柜到藉助ATM skimmer設備再到附上虛假鍵盤來安裝可執行的惡意軟體。在此過程中，惡意軟體為犯罪分子攻擊ATM機立下了「汗馬功勞」，並開始被其廣泛應用於此類攻擊活動中。而這種方式之所以能夠得到持續運用，最關鍵的原因是許多目標ATM機仍在使用過時的操作系統，這樣的系統無法接收重要的安全更新，所以其系統漏洞也就根本得不到解決。

對於使用惡意軟體實施攻擊和竊取現金的網路犯罪分子而言，獲取ATM機的物理訪問權已經成為其最常用的方法。然而，目前這些犯罪分子已經發現了一個更為有效的感染途徑，無需插入可移動的驅動器，更不會留下指紋和監控錄像等罪證。利用這種方式，可以在ATM機看似無損的情況下將裡面的現金洗劫一空。這些ATM機即便不是安放在陰暗的街道、偏遠地區或其它不安全地點，也會受到此類攻擊的影響。

【ATM機的組件】

網路犯罪分子在不斷斂取錢財的過程中，又發現了另一種可以通過銀行網路來攻擊ATM機的方式。值得注意的是，網路犯罪分子入侵銀行網路的第一步就是社會工程手段，使銀行職員成為攻擊感染鏈中最薄弱的環節。基於網路的ATM盜竊遠比物理攻擊更為複雜，但它們同時也是一種更有利可圖的賺錢方式。

過去幾年，趨勢科技一直在和歐洲刑警組織歐洲網路犯罪中心（EC3）合作研究ATM惡意軟體的發展情況，他們發現，ATM惡意軟體作為一種強大的威脅形式正在不斷發展演變，其背後的開發者正在繼續開發更隱秘的功能來攻擊更大規模的ATM機。

ATM惡意軟體：物理手段攻擊

自2009年發現Skimer惡意軟體以來，我們知道了基於物理訪問的傳統ATM機攻擊方式的存在。藉助這種惡意軟體，犯罪分子可以在獲取物理訪問權的情況下，利用USB埠或CD-ROM驅動器來感染ATM機。在某些情況下，犯罪分子甚至還可以通過連接一個外部鍵盤來操作ATM設備。

【通過物理手段的老式skimming攻擊】

此後，不同類型的ATM惡意軟體開始帶著各自的功能相繼登場，包括可以讓ATM自動吐鈔的「jackpotting」技術等。2016年，趨勢科技和歐洲刑警組織歐洲網路犯罪中心（EC3）合作發現了一款名為「Alice」的新型惡意軟體家族。這一通過可執行文件啟動的惡意軟體能夠幫助攻擊者清空保險柜，以獲取大量現金。

如下所示，安裝ATM惡意軟體通常需物理訪問目標ATM機。一旦在ATM機上安裝惡意軟體後，網路犯罪分子就可以通過擴展金融服務標準（XFS）中間件向受損設備發送命令，來提取現金。

【典型的ATM惡意軟體物理攻擊實施過程】

ATM惡意軟體感染新途徑：通過網路實施攻擊

現在，銀行機構不僅要警惕惡意軟體的感染（因為ATM機的安全性很差），還需要考慮攻擊者滲透網路的真實可能性。

最近，一場看似遠程策劃的攻擊事件席捲了不同國家的眾多ATM機。在這些攻擊案例中，網路犯罪分子入侵了銀行的內部網路，隨後滲透到ATM基礎設施中。然而，有趣的是，像這樣複雜的技術尚未在美國和加拿大等較大的地區報道過。

舉一個影響較大的例子，2016年9月，一款名為「Ripper」的惡意軟體席捲了泰國ATM機，據報道，大約盜取了1200萬泰銖（約合239萬人民幣）。這起攻擊事件就是犯罪分子通過入侵銀行網路，然後將Ripper惡意軟體分發到ATM機中導致的。值得注意的是，Ripper是第一個無需犯罪分子物理攻擊設備就可以感染ATM機的惡意軟體。

【典型的基於網路的ATM惡意軟體攻擊案例】

雖然基於網路的攻擊需要比物理攻擊做更多的工作，但它們對於網路犯罪分子的吸引力在於無需尋找針對性目標ATM機就能夠提取現金。此類攻擊涉及向銀行職員發送含有可執行文件的網路釣魚電子郵件。一旦惡意軟體被執行，銀行的內部網路就會被滲透。犯罪分子通過這種網路訪問方式在銀行網路內橫向移動並控制ATM機，甚至能在單次攻擊中同時感染多台設備。一些惡意軟體家族甚至還具有自我刪除的功能，可以有效地掩蓋犯罪活動的大部分痕迹。

大部分ATM機還在運行Windows XP系統

趨勢科技和歐洲刑警組織歐洲網路犯罪中心（EC3）的聯合報告顯示，

全球大多數ATM機仍在運行Windows XP或Windows XP Embedded系統，其中一些較舊的ATM機甚至還在運行Windows NT、Windows CE或Windows 2000. Microsoft。這意味著，全球絕大多數ATM機將不再接收安全更新支持，安全狀態堪憂。

WannaCry的爆發證明了，攻擊者可以利用不受支持和未打補丁的操作系統實施網路攻擊，這意味著，有能力的攻擊者可以利用ATM機中的漏洞通過基於網路的攻擊，甚至直接關閉設備來斂取財富。趨勢科技網路安全解決方案架構師Simon Edwards表示，

如果出現一個蠕蟲能夠像WannaCry或NonPetya一樣大規模破壞網路，那麼這種後果不堪設想，絕對有可能擊垮整個網路。

然而，這種假設並不只存在於理論中：黑客已經向我們展示了其遠程攻擊ATM機的能力，像其他許多形式的網路攻擊一樣，滲透行為開始於一封發送給銀行職員的網路釣魚郵件。一旦其中任何一人點擊了郵件，攻擊者就能夠訪問網路的其他部分，而無需多次對設備進行物理訪問。

其中一個例子就是ATMitch，攻擊者已經使用這種惡意軟體遠程感染了一家哈薩克和一家俄羅斯的銀行。一旦完成感染，攻擊者就可以向受損設備發出遠程命令，從而實現竊取資金的目的。

另外一個例子發生在2016年7月，攻擊者使用惡意軟體訪問了位於中國台灣地區的41台ATM機，並在無需銀行卡和觸摸PIN碼的情況下，從台灣第一銀行旗下的20多家分行中竊取了共計250萬美元的現金。目前該案已經破獲，抓獲了犯罪嫌疑人，但是並未追回所有被盜資金。

目前，趨勢科技和歐洲刑警組織已經將快速發展的「基於網路的ATM惡意軟體攻擊」視為「不安因素」，因為犯罪分子已經意識到，不僅可以通過物理方式對ATM機進行攻擊，還可以通過網路訪問並控制這些設備。

雖然，這種攻擊形式主要出現在南美洲以及亞洲等地區，但是報告警告稱，北美和歐洲等地區在不久前也已經發現了這種類型的攻擊活動。報告稱，

我們認為這是一種新的攻擊趨勢，可能會在2017年之後實現爆發。

最後，安全報告警告稱，執法部門必須意識到，網路犯罪分子正在使用這種方式加大攻擊ATM的力度，金融機構必須採取更多措施進行防範：通過部署更多的安全層來保護自己的ATM安全，例如將設備部署在單獨的網路段中；即使更新操作系統、安全更新程序等。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: