歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
國外ATM盜領案件vs國內ATM盜領可能的思維
2016 / 07 / 13
編輯部
近日,媒體沸沸騰騰的報導,國內發生首宗ATM感染惡意程式遭盜領的案件。嫌犯直接從ATM中提領現金高達七千萬元。一時之間國內各行庫針對這則新聞不斷提出對策,主管機關也要求各行庫擬訂因應計畫。但就目前媒體的資料,反而偏重在嫌犯逃離的路徑,或是地下匯兌的管道,對於真正的原因,也是眾說紛紜,包括有專家表示,是因為快速換版所造成的,也有人說是內神通外鬼。但都沒有較為明確的答案,甚至也有聽聞硬體供應廠商要出來召開記者說明會。但
這樣的案例,其實就在國外已經有多次發生,我們就從國外相關的報導進行探討,希望對這起案件能提供一些其他的思維
。
就目前我們手邊所看到的資料,類似的ATM案件從2013年起開始在俄羅斯興起,在蘇聯地區平均犯案所得每次約為2萬盧布,至今已經至少犯下50起案件,獲取的金額已經超過十億盧布。而每次從攻擊開始到犯案,其中潛伏的時間長達六週,主要攻擊的對象,就是讓ATM提款機能夠順利吐鈔。如果資料正確的話,那這種就是典型的進階持續性攻擊(Advanced Persistent Threat, APT)。而攻擊的源頭則是透過郵件的寄送,並且將惡意軟體夾藏在郵件中。當使用者不慎打開後,惡意軟體就常駐在使用者端,並且利用遠端桌面協議的漏洞(Remote Desktop Protocol RDP),建立起與ATM之間的連線。當然,集團成員也會利用多種工具,去掩蓋所留下來存取的軌跡。在整個入侵的過程中,除了透過電子郵件傳送外,同時也會一支m*的open source檔案,嘗試取得該台個人電腦的使用權限,並且透過該台電腦,與其他伺服器取得連線後,記錄IP位置並且繞過防火牆,藉以建立攻擊管道。在這一連串的過程中,其中有一隻非常罕見的惡意程式,名為” Barus” ,利用這支程式把被感染的伺服器與遠端進行連結,並且修改相關的設定。
如果在仔細回推一下整個事件的源頭,還是透過一般使用者,當他開啟來路不明的電子郵件,或是打開附加的檔案,所有的災難就接踵而來。去年度因應主管機關的要求,針對銀行業進行社交工程演練,並且列入資安檢測的項目之一。但初期執行點擊的比例還有改善的空間。在連接到伺服器之後,最後最主要的一步是要連接ATM的網路。如果網段區隔的不清楚,或是沒有密切注意網段間的連絡,就有可能輕易找到目標。一旦找到目標後,換言之這個網段下同型號的ATM應該是無一可倖免。以上述所提到的攻擊方式,最終的攻擊對象就會與這次國內銀行發生盜領事件的ATM是屬於同一種廠牌。駭客在找到ATM設備之後,就會更改Registry Key的設定,將其中負責提款模組下一組名為”value_1”的設定值及另外一支” “KDIAG32”的程式加以修改,如此一來對於駭客集團而言,幾乎可以說是大功告成,接下來就是要在現場將惡意程式啟動,並且享受結果。
這個駭客集團從2014年下半年起,將觸角觸及到美國、澳洲、西班牙等地,並且不斷的翻新作業的程式,但我們可以發現基本的攻擊模式是沒有改變的。而從國外的調查報告中得知,這個集團目前也開始對西歐或其他地區開始佈署重兵。雖然無法證明國內的案件與這個集團有關,但這樣的攻擊手法也是可以提供我們做參考。就在晚間法務部調查局的新聞稿中檢測到「cngdisp.exe」及「cngdisp_new.exe」這兩支惡意程式的存在。就目前各行庫而言,
除了與案件中相同的機型建議停用並進行檢測之外,其他的行庫,如果使用不同的機型或是使用不同廠牌的ATM,建議還是要對內部的網路進行監控,如果有發現到試圖嘗試連線,或是連線失敗的案例,還是需要儘可能得找出原因,畢竟資安工作絕不是一天兩天就可以做完的。
駭客、ATM、銀行
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
大規模採用中國光學雷達設備 恐對國家安全構成威脅
「Q-day」來臨! 雲端遷移成企業資安關鍵
資安人科技網
文章推薦
中華資安國際再獲Frost & Sullivan 2024台灣年度最佳資安服務公司大獎
研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節
物聯網裝置資安風險升高,多數組織單位未完整盤點設備資產