該新惡意軟件家族名為“艾麗絲”(Alice),是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能,甚至不能通過ATM的數(shù)字小鍵盤進(jìn)行控制。
雖然是在2016年才首次被發(fā)現(xiàn),艾麗絲據(jù)信2014年左右便已出現(xiàn),趨勢科技稱這僅僅是迄今為止的第8個(gè)ATM惡意軟件家族——雖然此類威脅早已在我們身邊長達(dá)9年多了。
艾麗絲需要能物理接觸到ATM機(jī)才能使用,趨勢科技認(rèn)為其設(shè)計(jì)目的是為了讓錢騾偷走被攻擊柜員機(jī)里所有現(xiàn)金。該功能在去年便被發(fā)現(xiàn)過,當(dāng)時(shí)的執(zhí)行軟件名為GreenDispenser。
但是,與老款不同,這一新威脅不連接ATM機(jī)的密碼輸入鍵盤,且能通過遠(yuǎn)程桌面協(xié)議運(yùn)作。雖然趨勢科技稱至今尚未發(fā)現(xiàn)此類用例。
惡意軟件分析發(fā)現(xiàn):艾麗絲(該名字在惡意軟件二進(jìn)制文件的版本信息中有包含Alice字樣)采用了一款名為VMProtect的商用加殼/混淆器進(jìn)行打包,防止在調(diào)試器中被運(yùn)行。而且,該惡意軟件還會(huì)在運(yùn)行之前檢查自身環(huán)境,只要發(fā)現(xiàn)自己不是運(yùn)行在ATM機(jī)上就會(huì)終止進(jìn)程(主要檢查幾個(gè)注冊(cè)表鍵和系統(tǒng)上是否安裝有特定DLL)。
若運(yùn)行在ATM機(jī)上,艾麗絲會(huì)在根目錄寫入2個(gè)文件,5 MB+大小的空文件xfs_supp.sys,以及名為TRCERR.LOG的錯(cuò)誤日志文件。然后,它會(huì)連上CurrencyDispenser1外設(shè),也就是XFS環(huán)境中的吐鈔設(shè)備。只要輸入正確的密碼,CurrencyDispenser1就會(huì)顯示ATM機(jī)內(nèi)各個(gè)錢匣里所裝鈔票的信息。
由于該惡意軟件只連接CurrencyDispenser1外設(shè),而不嘗試使用機(jī)器的密碼輸入鍵盤,研究人員認(rèn)為,攻擊者是物理打開ATM機(jī)并通過USB或光驅(qū)感染機(jī)器的。另外,攻擊者還將鍵盤連接到了ATM機(jī)的主板上,通過這個(gè)鍵盤來操作惡意軟件。
艾麗絲支持3個(gè)指令,每一個(gè)都通過特定PIN碼發(fā)送:其一是釋放卸載文件,另一個(gè)是推出程序并執(zhí)行卸載/清理操作,第三個(gè)則是打開“操作面板”。該面板就是ATM內(nèi)可用現(xiàn)金信息的展示板。
攻擊者只需輸入錢匣的ID便可讓ATM機(jī)吐光鈔票。吐鈔指令通過WFSExecute編程接口發(fā)送給CurrencyDispenser1外設(shè)。因?yàn)锳TM機(jī)通常會(huì)有吐鈔數(shù)量限制,攻擊者可能需要多次重復(fù)同樣的操作,才能清空ATM機(jī)里錢匣存放的所有鈔票。剩余可用現(xiàn)金的信息會(huì)動(dòng)態(tài)顯示在屏幕上,攻擊者可據(jù)此知曉錢匣什么時(shí)候被清空。
趨勢科技認(rèn)為,攻擊者用艾麗絲手動(dòng)替換了目標(biāo)ATM機(jī)上的Windows任務(wù)管理器,因?yàn)楸桓腥鞠到y(tǒng)上發(fā)現(xiàn)的該惡意軟件通常是以taskmgr.exe的形式存在的。該惡意軟件沒有長期駐留方法,但以任務(wù)管理器的形式運(yùn)行,意味著每次系統(tǒng)發(fā)出啟動(dòng)任務(wù)管理器的指令,艾麗絲就會(huì)被啟動(dòng)。
吐鈔前的PIN碼輸入操作,揭示出艾麗絲只能用于現(xiàn)場攻擊。它既沒有精心謀劃的安裝機(jī)制,也沒有縝密的卸載機(jī)制,就是通過在合適的環(huán)境中運(yùn)行可執(zhí)行文件來起效。
PIN驗(yàn)證系統(tǒng)與其他ATM惡意軟件家族使用的類似,但同時(shí)也給艾麗絲的作者提供了對(duì)其使用者的授權(quán)控制。通過修改各樣本的訪問碼,作者既能防止錢騾共享惡意軟件代碼,又能追蹤單個(gè)錢騾。
被分析的樣本使用了4位數(shù)字的口令,但其他樣本或許使用的是更長的PIN碼。該P(yáng)IN碼不能被暴力破解,因?yàn)榘惤z有輸入次數(shù)限制,超過次數(shù)就會(huì)自我了斷并顯示一條錯(cuò)誤消息。研究人員還認(rèn)為,Alice可在任意使用了微軟擴(kuò)展金融服務(wù)中間件(XFS)的硬件上運(yùn)行。
直到最近,ATM惡意軟件在惡意軟件世界中都還是利基類別(注:利基是指某些空白的細(xì)分領(lǐng)域),被一小撮犯罪團(tuán)伙以高度針對(duì)性的方式使用。但我們正處在ATM惡意軟件逐漸成為主流的節(jié)點(diǎn)上。