歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
國外ATM盜領案件vs國內ATM盜領可能的思維
2016 / 07 / 13
編輯部
近日,媒體沸沸騰騰的報導,國內發生首宗ATM感染惡意程式遭盜領的案件。嫌犯直接從ATM中提領現金高達七千萬元。一時之間國內各行庫針對這則新聞不斷提出對策,主管機關也要求各行庫擬訂因應計畫。但就目前媒體的資料,反而偏重在嫌犯逃離的路徑,或是地下匯兌的管道,對於真正的原因,也是眾說紛紜,包括有專家表示,是因為快速換版所造成的,也有人說是內神通外鬼。但都沒有較為明確的答案,甚至也有聽聞硬體供應廠商要出來召開記者說明會。但
這樣的案例,其實就在國外已經有多次發生,我們就從國外相關的報導進行探討,希望對這起案件能提供一些其他的思維
。
就目前我們手邊所看到的資料,類似的ATM案件從2013年起開始在俄羅斯興起,在蘇聯地區平均犯案所得每次約為2萬盧布,至今已經至少犯下50起案件,獲取的金額已經超過十億盧布。而每次從攻擊開始到犯案,其中潛伏的時間長達六週,主要攻擊的對象,就是讓ATM提款機能夠順利吐鈔。如果資料正確的話,那這種就是典型的進階持續性攻擊(Advanced Persistent Threat, APT)。而攻擊的源頭則是透過郵件的寄送,並且將惡意軟體夾藏在郵件中。當使用者不慎打開後,惡意軟體就常駐在使用者端,並且利用遠端桌面協議的漏洞(Remote Desktop Protocol RDP),建立起與ATM之間的連線。當然,集團成員也會利用多種工具,去掩蓋所留下來存取的軌跡。在整個入侵的過程中,除了透過電子郵件傳送外,同時也會一支m*的open source檔案,嘗試取得該台個人電腦的使用權限,並且透過該台電腦,與其他伺服器取得連線後,記錄IP位置並且繞過防火牆,藉以建立攻擊管道。在這一連串的過程中,其中有一隻非常罕見的惡意程式,名為” Barus” ,利用這支程式把被感染的伺服器與遠端進行連結,並且修改相關的設定。
如果在仔細回推一下整個事件的源頭,還是透過一般使用者,當他開啟來路不明的電子郵件,或是打開附加的檔案,所有的災難就接踵而來。去年度因應主管機關的要求,針對銀行業進行社交工程演練,並且列入資安檢測的項目之一。但初期執行點擊的比例還有改善的空間。在連接到伺服器之後,最後最主要的一步是要連接ATM的網路。如果網段區隔的不清楚,或是沒有密切注意網段間的連絡,就有可能輕易找到目標。一旦找到目標後,換言之這個網段下同型號的ATM應該是無一可倖免。以上述所提到的攻擊方式,最終的攻擊對象就會與這次國內銀行發生盜領事件的ATM是屬於同一種廠牌。駭客在找到ATM設備之後,就會更改Registry Key的設定,將其中負責提款模組下一組名為”value_1”的設定值及另外一支” “KDIAG32”的程式加以修改,如此一來對於駭客集團而言,幾乎可以說是大功告成,接下來就是要在現場將惡意程式啟動,並且享受結果。
這個駭客集團從2014年下半年起,將觸角觸及到美國、澳洲、西班牙等地,並且不斷的翻新作業的程式,但我們可以發現基本的攻擊模式是沒有改變的。而從國外的調查報告中得知,這個集團目前也開始對西歐或其他地區開始佈署重兵。雖然無法證明國內的案件與這個集團有關,但這樣的攻擊手法也是可以提供我們做參考。就在晚間法務部調查局的新聞稿中檢測到「cngdisp.exe」及「cngdisp_new.exe」這兩支惡意程式的存在。就目前各行庫而言,
除了與案件中相同的機型建議停用並進行檢測之外,其他的行庫,如果使用不同的機型或是使用不同廠牌的ATM,建議還是要對內部的網路進行監控,如果有發現到試圖嘗試連線,或是連線失敗的案例,還是需要儘可能得找出原因,畢竟資安工作絕不是一天兩天就可以做完的。
駭客、ATM、銀行
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制