icp备案系统网站,网站建设的初衷,中国兰州网官网,企业邮箱申请免费趋势科技#xff08;Trend Micro#xff09;安全公司的研究人员警告称#xff0c;新发现的恶意软件家族主要针对ATM机#xff08;自动取款机#xff09;#xff0c;唯一目的就是要掏空ATM机保险箱里的现金。 alice软件是什么 这款恶意软件被称为“Alice”#xff0c;是迄… 趋势科技Trend Micro安全公司的研究人员警告称新发现的恶意软件家族主要针对ATM机自动取款机唯一目的就是要掏空ATM机保险箱里的现金。 alice软件是什么 这款恶意软件被称为“Alice”是迄今最大的ATM威胁。Alice没有窃取信息的功能甚至无法通过ATM机的数字键操控。Alice最早发现于2016年11月但被认为自2014年起就已存在。趋势科技表示虽然这类威胁已存在九年多时间Alice只是至今见到的第8个ATM恶意软件家族。 使用恶意软件要求物理连接到ATM机。趋势科技表示恶意软件被设计成钱骡以窃取受攻击ATM机内的所有现金。去年恶意软件GreenDispenser就是这样做的。 然而与GreenDispenser不同这种新威胁并没有连接ATM机的密码键盘可通过远程桌面协议RDP来使用但趋势科技表示目前并没有证据表明此类使用方法。 新款ATM恶意软件Alice 会侦测当前运行环境是否ATM机 恶意软件分析显示Alice二进制版本信息中包含此名称中有一个名为“VMProtect”的商业化、现成的软件包/混淆器可防止调试器内部的执行。此外该恶意软件可在执行前进行环境检查如果发现不是运行在ATM机上则会自行终止它会检查多个注册表键并需要在系统上安装特定的DLL。 在机器上运行时Alice在根目录下对两个文件进行写操作名为xfs_supp.sys、大小为5 MB的空文件和名为TRCERR.LOG的错误日志文件。接着它连接到XFS环境中的分配器currencydispenser1如果PIN码正确它将显示各个钞箱的信息并取走机器里的现金。 由于恶意软件只连接currencydispenser1但并未尝试使用机器的密码键盘研究人员认为攻击者只是通过物理方式打开ATM机并通过USB或光盘进行感染。并且研究人员还表示攻击者将键盘与ATM机的主板进行连接并通过这种连接来操控恶意软件。 安全研究人员发现Alice支持以下三个通过具体PIN码发布的命令用于丢弃卸载文件的命令、用于退出程序并运行卸载/清除程序的命令以及用于打开“操作面板”的命令。操作面板中可显示ATM机中的现金信息。 PIN CodeDescription of Command1010100Decrypts and drops file sd.bat in current directory. This batch file is used to cleanup/uninstall Alice.0Exits the program and runs sd.bat . Also deletes xfs_supp.sys .specific 4-digit PIN based on ATM’s terminal IDOpens the “operator panel”. 就在这个界面上 攻击者就可以控制ATM机吐钞票了 攻击者只需输入钞箱IDATM机就会为其分配现金。分配命令通过WFSExecute API发送至CurrencyDispenser1。通常ATM机都有每次40张钞票的分配限制攻击者执行重复操作就可以清空钞箱中存放的所有现金。屏幕上会动态显示剩余现金的信息。这样攻击者就知道钞箱何时已被清空。 趋势科技认为攻击者手动更换了已感染Alice恶意软件的目标机上的Windows任务管理器因为恶意软件通常是在受感染的系统上以taskmgr.exe的形式被发现的。Alice并没有持续的方法但将它作为任务管理器运行意味着每次发出调用任务管理器的命令时都会调用Alice。 “在现金分配前需要输入PIN码这表明Alice恶意软件只用于个案攻击。Alice恶意软件没有精心的安装或卸载机制—它的工作原理仅是在适当的环境中运行可执行文件。”研究人员如是说。 PIN认证系统类似于其他ATM恶意软件家族所用的系统但前者还提供恶意软件作者能够控制访问Alice的人。通过改变样本之间的访问代码恶意软件作者可防止钱骡共享代码或者可跟踪个人钱骡或两者都可以。 所分析样本中使用的是四位密码但其他样本中可能会使用更长的PIN码。PIN码不能被暴力破解因为Alice在自行终止和显示错误信息前接受输入限制。研究人员还认为Alice可运行在配置使用微软扩展金融服务中间件XFS的任何厂商硬件上。 趋势科技表示 “现在ATM恶意软件属于恶意软件中的利基类被数个犯罪团伙用于高针对性的攻击中。我们现在正处于ATM恶意软件日渐成为主流的时期。” 钱骡是什么 钱骡Money mule指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人款物接收国通常是诈骗份子的居住地。Money mule这个说法是在drug mule药骡的基础上衍生出来的。 小编这不就是网络洗钱的人嘛 原文发布时间2017年3月24日 本文由securityWeek 发布版权归属于原作者 原文链接http://toutiao.secjia.com/new-atm-malware-alice 本文来自云栖社区合作伙伴安全加了解相关信息可以关注安全加网站
