https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

國外ATM盜領案件vs國內ATM盜領可能的思維

2016 / 07 / 13
編輯部
國外ATM盜領案件vs國內ATM盜領可能的思維
近日,媒體沸沸騰騰的報導,國內發生首宗ATM感染惡意程式遭盜領的案件。嫌犯直接從ATM中提領現金高達七千萬元。一時之間國內各行庫針對這則新聞不斷提出對策,主管機關也要求各行庫擬訂因應計畫。但就目前媒體的資料,反而偏重在嫌犯逃離的路徑,或是地下匯兌的管道,對於真正的原因,也是眾說紛紜,包括有專家表示,是因為快速換版所造成的,也有人說是內神通外鬼。但都沒有較為明確的答案,甚至也有聽聞硬體供應廠商要出來召開記者說明會。但這樣的案例,其實就在國外已經有多次發生,我們就從國外相關的報導進行探討,希望對這起案件能提供一些其他的思維

就目前我們手邊所看到的資料,類似的ATM案件從2013年起開始在俄羅斯興起,在蘇聯地區平均犯案所得每次約為2萬盧布,至今已經至少犯下50起案件,獲取的金額已經超過十億盧布。而每次從攻擊開始到犯案,其中潛伏的時間長達六週,主要攻擊的對象,就是讓ATM提款機能夠順利吐鈔。如果資料正確的話,那這種就是典型的進階持續性攻擊(Advanced Persistent Threat, APT)。而攻擊的源頭則是透過郵件的寄送,並且將惡意軟體夾藏在郵件中。當使用者不慎打開後,惡意軟體就常駐在使用者端,並且利用遠端桌面協議的漏洞(Remote Desktop Protocol RDP),建立起與ATM之間的連線。當然,集團成員也會利用多種工具,去掩蓋所留下來存取的軌跡。在整個入侵的過程中,除了透過電子郵件傳送外,同時也會一支m*的open source檔案,嘗試取得該台個人電腦的使用權限,並且透過該台電腦,與其他伺服器取得連線後,記錄IP位置並且繞過防火牆,藉以建立攻擊管道。在這一連串的過程中,其中有一隻非常罕見的惡意程式,名為” Barus” ,利用這支程式把被感染的伺服器與遠端進行連結,並且修改相關的設定。

如果在仔細回推一下整個事件的源頭,還是透過一般使用者,當他開啟來路不明的電子郵件,或是打開附加的檔案,所有的災難就接踵而來。去年度因應主管機關的要求,針對銀行業進行社交工程演練,並且列入資安檢測的項目之一。但初期執行點擊的比例還有改善的空間。在連接到伺服器之後,最後最主要的一步是要連接ATM的網路。如果網段區隔的不清楚,或是沒有密切注意網段間的連絡,就有可能輕易找到目標。一旦找到目標後,換言之這個網段下同型號的ATM應該是無一可倖免。以上述所提到的攻擊方式,最終的攻擊對象就會與這次國內銀行發生盜領事件的ATM是屬於同一種廠牌。駭客在找到ATM設備之後,就會更改Registry Key的設定,將其中負責提款模組下一組名為”value_1”的設定值及另外一支” “KDIAG32”的程式加以修改,如此一來對於駭客集團而言,幾乎可以說是大功告成,接下來就是要在現場將惡意程式啟動,並且享受結果。

這個駭客集團從2014年下半年起,將觸角觸及到美國、澳洲、西班牙等地,並且不斷的翻新作業的程式,但我們可以發現基本的攻擊模式是沒有改變的。而從國外的調查報告中得知,這個集團目前也開始對西歐或其他地區開始佈署重兵。雖然無法證明國內的案件與這個集團有關,但這樣的攻擊手法也是可以提供我們做參考。就在晚間法務部調查局的新聞稿中檢測到「cngdisp.exe」及「cngdisp_new.exe」這兩支惡意程式的存在。就目前各行庫而言,除了與案件中相同的機型建議停用並進行檢測之外,其他的行庫,如果使用不同的機型或是使用不同廠牌的ATM,建議還是要對內部的網路進行監控,如果有發現到試圖嘗試連線,或是連線失敗的案例,還是需要儘可能得找出原因,畢竟資安工作絕不是一天兩天就可以做完的。