能力越大，作惡后果就越可怕。

雷鋒網(wǎng)說的當(dāng)然不是愛剁手的女人，而是比清空購物車更可怕的清空 ATM 機(jī)。

兩年前，卡巴斯基發(fā)現(xiàn)了一款新型惡意軟件，可直接從 ATM 機(jī)上盜取資金，至少有 140 家銀行和企業(yè)的網(wǎng)絡(luò)被此類惡意軟件感染。遭遇攻擊的銀行和企業(yè)分屬 40個不同國家，其中，美國、法國、肯尼亞、厄瓜多爾、英國的大兄弟受到的攻擊最嚴(yán)重。

這種惡意軟件有個牛氣哄哄的背景：它從復(fù)雜的計(jì)算機(jī)蠕蟲病毒 Stuxnet 衍生而來，之前，這個軟件是由美國和以色列開發(fā)，用來攻擊伊朗的核設(shè)施。

萬萬沒想到，攻擊核設(shè)施的惡意軟件還能用來搞垮 ATM，黑客為了掙錢，條條大路通羅馬。黑客還挺狡猾，使用了常見的系統(tǒng)管理軟件和安全軟件偽裝這款惡意軟件，大大降低了它被發(fā)現(xiàn)的幾率。

美國時間 10 月 11 日，外媒又報(bào)道，上次揪出了偽裝的 ATM 惡意軟件，這次卡巴斯基又發(fā)現(xiàn)了一個新惡意軟件，還給它取了個名字叫“ATMii”。意思很明白了：ATM 2.0 版本！

“ATMii”是個什么鬼

不過，卡巴斯基把這個發(fā)現(xiàn)捂在手里大半年才被媒體報(bào)道出來。

今年 4 月，卡巴斯基就發(fā)現(xiàn)了 ATMii 惡意軟件，它會執(zhí)行兩個模塊：注射器模塊（exe.exe）和要注入的模塊（dll.dll），從而從目標(biāo)機(jī)器中偷錢。

這個惡意軟件的安裝很簡單：直接物理訪問或網(wǎng)絡(luò)訪問目標(biāo) ATM，安裝惡意代碼。

卡巴斯基拿到這個惡意軟件的樣本后進(jìn)行了分析：注入器是不受保護(hù)的命令行應(yīng)用程序，以 Visual C 語言編寫，還在上面搞了個四年前的假編譯時間戳混淆視聽。惡意代碼適用于 Windows XP 以及更高版本的系統(tǒng)，而這些正是大部分 ATM 的運(yùn)行系統(tǒng)。

同行相輕，黑客界也不例外。

卡巴斯基的研究員一邊分析一邊吐槽：針對 atmapp.exe（專有ATM軟件）進(jìn)程的注入器寫得相當(dāng)爛，因?yàn)樗Q于幾個參數(shù)。如果沒有給出來，應(yīng)用程序就會捕獲異常。

下面就是可能只有安全人員才看得懂的 blabla了：

支持的參數(shù)包括：

/ load，它試圖將dll.dll注入atmapp.exe。

/ cmd，它創(chuàng)建或更新C：\ ATM \ c.ini文件，將命令和參數(shù)傳遞給受感染的庫。

/ unload，它嘗試從atmapp.exeprocess卸載注入的庫，同時恢復(fù)其狀態(tài)。

可用的命令允許分配所需數(shù)量的現(xiàn)金，檢索有關(guān)ATM現(xiàn)金卡的信息，并從ATM中完全刪除C：\ ATM \ c.ini文件。

注入DllMain函數(shù)后，dll.dll 庫加載 msxfs.dll，并使用函數(shù)mWFSGetInfo替換WFSGetInfofunction。

注入的模塊嘗試找到 ATM 的 CASH_UNIT 服務(wù) ID 并存儲結(jié)果。

如果成功，所有連續(xù)的調(diào)用將重定向到mWFSGetInfofunction，該函數(shù)從C：\ ATM \ c.inifile中解析并執(zhí)行命令。

卡巴斯基的研究人員提出了兩個措施：默認(rèn)拒絕和設(shè)備控制。

第一個措施可以防止黑客在 ATM 的內(nèi)部 PC 上運(yùn)行自己的代碼，而第二個措施將阻止黑客連接新的設(shè)備，比如 U 盤。

讓 ATM 吐錢其實(shí)很簡單

這句話絕對不是雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）瞎編的，但請注意，這是有水平的黑客自己說的。

事實(shí)上，今年9月，卡巴斯基還曝光了一款A(yù)TM 惡意軟件“ATMitch”，這個惡意軟件可讓攻擊者非法取款，然后可自行刪除記錄。

ATMitch 惡意軟件攻擊的第一階段需要獲取銀行系統(tǒng)的訪問權(quán)限，然后使用開源或其他公開可用的公用程序來控制系統(tǒng)以及攻擊其他 ATM 。由于它在內(nèi)存中運(yùn)行，這種無文件惡意軟件會在受感染系統(tǒng)重啟后消失。

早在 2016年，卡巴斯基實(shí)驗(yàn)室滲透測試專家就在題為《采用惡意軟件（和非惡意軟件）方式攻破ATM機(jī)》的演講中，深度剖析了 ATM 機(jī)易受攻擊的原因。

卡巴斯基給出的原因不多不少，有七條：

1.ATM 機(jī)本質(zhì)是一臺電腦。就算裝了工業(yè)控制器，在 ATM 機(jī)系統(tǒng)里說了算的還是傳統(tǒng)的 PC 電腦。

2.在 2016年的演示中，卡巴斯基稱，演示的那臺 PC 電腦有很大可能是由非常老舊的操作系統(tǒng)所控制，例如：Windows XP。由于微軟不再提供技術(shù)支持，所有零日漏洞將永久存在且沒有任何補(bǔ)丁修復(fù)。不少黑客對雷鋒網(wǎng)表示：就算微軟常常發(fā)補(bǔ)丁，大家打補(bǔ)丁的速度還是跟不上，尤其是工控設(shè)備，一次更新你以為鬧著玩哦！

上述也提到，ATMii 針對的還是Windows XP 和更高版本的系統(tǒng)。

3.ATM 機(jī)里運(yùn)行了很多有漏洞的軟件。系統(tǒng)有漏洞還不算，安裝的軟件繼續(xù)補(bǔ)刀。

4.卡巴斯基稱，ATM 機(jī)生產(chǎn)商似乎一廂情愿地認(rèn)為 ATM 機(jī) 總是”正常工作”，且永遠(yuǎn)不會出錯。因此，沒有任何軟件的完整性控制，也未安裝任何反病毒解決方案，更不用提對向自動提款機(jī)發(fā)送命令的應(yīng)用程序的安全認(rèn)證。

5.安全人員吐槽：ATM 機(jī)看上去做得那么堅(jiān)固，用的材料也是極好的，但為什么 ATM 機(jī)的電腦外殼卻是由塑料造的？最好的也只有薄金屬保護(hù)，這個鎖就更簡單了，這不是輕易讓人就能破掉嗎？

6.ATM 會與處理中心聯(lián)網(wǎng)。

7.ATM 機(jī)模組通常連有各種標(biāo)準(zhǔn)接口，比如，COM和USB端口。有時這些接口就按在機(jī)柜外部，任何人都能輕松訪問。即使未按在外部，犯罪分子也能想出各種辦法連接這些端口。

參考鏈接：

https://www.kaspersky.com.cn/blog/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/3928/

http://securityaffairs.co/wordpress/64196/malware/atmii-atm-malware.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。