雷鋒網按：不僅僅是臺灣首宗銀行遭跨境黑客盜領案，跨境黑客入侵各地的ATM，滲透超過100家銀行，至少有30個國家及地區(qū)受害，竊取的金額，大約已有3億美金，且迄今懸案未破。那么，黑客究竟是如何攻擊的？本文試圖還原整個事件過程，作者系360追日團隊。

| 前言

2016年7月中，我國臺灣地區(qū)的臺灣第一銀行旗下20多家分行的41臺ATM機遭遇黑客攻擊，被盜8327余萬新臺幣，目前該案已經破獲，抓獲犯罪嫌疑人并追回大部分被盜款項。360追日團隊對這起針對ATM機的黑客攻擊盜竊事件進行了分析，還原了整個事件的過程，分析了黑客攻擊手法和過程，并據此提供了安全建議。

| 事件過程

臺灣第一金控旗下第一銀行（First Bank）是我國臺灣地區(qū)（以下簡稱臺灣）的一所大型商業(yè)銀行，該行于6月初推出無卡提款服務。（以下部分內容摘自臺灣媒體的公開報道）

2016年7月11日：

臺灣警方接到市民報案，表示看到有人在操作ATM時，行為怪異，隨即ATM有不明吐鈔情況。

2016年7月12日：

第一銀行發(fā)布公告《第一銀行ATM遭異常盜領客戶權益不受影響》表示“第一銀行部分分行ATM提款機遭異常盜領，作案過程約5~10分鐘，交易集中在7月9日和7月10日，目前本案共計遭盜取的金額約7000多萬新臺幣，20家分行共34臺ATM發(fā)生異常，目前已緊急報警處理。初步了解可能遭植入惡意軟件驅動吐鈔模塊執(zhí)行吐鈔，都是德利多富（Wincor）公司的同一機型（pro cash1500機型），目前該款機型已全面暫停服務?！钡吕喔唬╓incor）的產品涉及銀行業(yè)及零售業(yè)，在銀行業(yè)包括現(xiàn)金類自助設備和非現(xiàn)金類自助服務終端及其解決方案，代表硬件產品如自動取款機、存取款一體機、多媒體服務終端、存折打印機等；業(yè)務遍及130多個國家和地區(qū)。而在這起臺灣劫案中，被歹徒攻擊的ATM其實是老舊機型，在ebay拍賣網站上只要1475美元就能買到。

后經第一銀行清算核實，全臺共有41臺ATM遭到盜領，被盜金額8327余萬元。這是臺灣首宗銀行遭跨境黑客盜領案。

2016年7月17日：

臺灣警方通報稱，通過調取監(jiān)控錄像等手段，鎖定該案16名嫌犯及1名關系人均來自境外，其中13人已離臺，并于17日在宜蘭抓獲主犯拉脫維亞籍男子安德魯，當晚又在臺北抓獲羅馬尼亞籍和摩爾多瓦籍共犯各一人，追回贓款6050萬元。經查，這伙嫌犯自7月6日起以觀光名義分批從土耳其、中國香港等地進入臺灣，9日至11日分別到臺北市、新北市、臺中市等地，以1人至3人為一組，利用木馬程序入侵第一銀行ATM，然后通過通訊軟件遠程遙控ATM自動吐錢，其余同伙則負責領錢、把風。犯案后，13名嫌犯迅速離臺。已追回的6050萬現(xiàn)鈔，被存放在臺北車站，嫌犯通過“情報秘密傳遞點”（dead drop）的方式將部分現(xiàn)金以“行李箱寄放”的方式存放。17日晚間，臺灣當局“警政署長”陳國恩表示，跨境黑客入侵各地的ATM，滲透超過100家銀行，至少有30個國家及地區(qū)受害，竊取的金額，大約已有3億美金，且迄今懸案未破。

2016年7月18日：

臺灣《聯(lián)合報》報道稱，調查局新北市調處安全人員查出有惡意程序通過一銀英國倫敦分行，侵入臺灣總行。警方已約談第一銀行倫敦分行信息主管、第一銀行臺灣信息部門負責人及ATM廠商總部代表等3人，為查清是否有內鬼參與盜領案。在當晚10點召開的記者會上，新北市調查局指出，第一銀行的ATM機器程序更新，是由內部下發(fā)主機、服務器自動下發(fā)到各ATM。7月4日，入侵者仿冒更新軟件并下發(fā)至第一銀行各ATM，開啟ATM遠程控制服務(Telnet Service)。直到7月9日入侵者再遠程登錄，上傳ATM操控程序后，執(zhí)行測試吐鈔開關，經“錢騾”測試成功后，藏身在海外的幕后操控者，就開始大規(guī)模遠程遙控進行吐鈔，由各就各位的“錢騾”領取贓款。完成盜領后，遠程操控者再將隱藏控制程序、紀錄文檔、執(zhí)行文檔全部清除。調查人員同時給出了第一銀行被攻擊的流程圖，具體如下：

辦案人員同時查出，對第一銀行ATM下達吐鈔指令的惡意程序，竟來自第一銀行英國倫敦分行電腦主機和2個存儲電話錄音的硬盤，其中一個已經損毀。初步判斷，犯罪集團先黑入錄音硬盤，取得電腦主機的最高權限，接著在ATM硬盤內植入惡意程序，再派出外籍嫌犯入境臺灣盜領現(xiàn)金。調查人員懷疑，盜領集團很可能在倫敦還有其他共犯，也不排除是第一銀行內鬼所為的可能。

2016年7月20日：

臺北市警方證實，已在內湖山區(qū)找到1263萬現(xiàn)金。安德魯14日晚上按照指示到達西湖公園，但他等了一天也無人來取款，因此就將這些現(xiàn)金藏在垃圾堆中。臺北警方通過復原安德魯?shù)男袆榆壽E，最終找到了這些現(xiàn)金。一名晨練老人在西湖公園附近停車場撿到裝有454萬1200元的電腦包，他將這些錢撿回家，晚間向警方報案。截止到21日，除去疑犯的生活開銷，仍有約586萬贓款下落不明。

| 事件分析

7月12日晚間，新北市有關調查部門公布了本次攻擊第一銀行的惡意代碼相關信息：文件名、MD5 和功能簡述。其中sdelete.exe程序是微軟提供的正?？尚懦绦?。

在對相關攻擊事件的分析中，360追日團隊發(fā)現(xiàn)攻擊者并沒有使用銀行卡和對ATM操作等，無需物理接觸ATM，則能實現(xiàn)ATM吐鈔達到取現(xiàn)的目的。這點攻擊現(xiàn)象引起了我們的注意，以往攻擊ATM的事件并不少見，但能達到不進行物理接觸而使得ATM吐鈔，是比較少見的，盡管多年前已有研究人員提出并驗證了這一理論。

2010年7月28日，Black Hat大會上，當時任職于IOActive的Barnaby Jack展示了他多年來對ATM機程式代碼的研究成果， 成功演示入侵安裝有兩種不同系統(tǒng)的ATM取款機并當場讓ATM取款機吐出錢，他稱之為“jackpotting”。在現(xiàn)場，他用了兩種方法令ATM機吐鈔票，一種需要物理接觸ATM，而另一種則完全在遠程執(zhí)行自動攻擊 。兩種方法均需要惡意軟件感染機器系統(tǒng)，用以執(zhí)行攻擊者的虛假指令。具體方法如下：

l物理接觸攻擊：攻擊者充分利用對目標機器的使用權，插入特制的U盤，然后利用惡意軟件控制網絡并命令機器吐錢。

l遠程攻擊：攻擊者利用遠程管理系統(tǒng)的漏洞，安裝惡意軟件，大多數(shù)情況下是利用遠程管理系統(tǒng)的默認管理員密碼、賬戶PIN碼和TCP端口。然后執(zhí)行惡意軟件，ATM會吐出一定數(shù)額的現(xiàn)金。

這個現(xiàn)象使我們聯(lián)想到之前發(fā)現(xiàn)的Anunak（即Carbanak）攻擊組織，該組織在攻擊ATM時也可以達到同樣的效果，進一步我們通過分析Anunak（即Carbanak）和臺灣第一銀行事件進行對比，發(fā)現(xiàn)二者之間有較多相似的地方，具體如下表所示：

關于Anunak（即Carbanak）：

Anunak（即Carbanak）攻擊組織，是一個跨國網絡犯罪團伙。2013年起，該犯罪團伙總計向全球約30個國家和地區(qū)的100家銀行、電子支付系統(tǒng)和其他金融機構發(fā)動了攻擊，目前相關攻擊活動還很活躍。在《2015年中國高級持續(xù)性威脅（APT）研究報告》中我們提到了Anunak，通過研究分析該組織相關攻擊手法和意圖，我們將該組織視為針對金融行業(yè)的犯罪型APT組織。

Anunak組織一般通過社會工程學、漏洞利用等方式攻擊金融機構員工的計算機，進而入侵銀行網絡。進一步攻擊者通過內部網絡，對計算機進行視頻監(jiān)控，查看和記錄負責資金轉賬系統(tǒng)的銀行員工的屏幕。通過這種方式，攻擊者可以了解到銀行職工工作的全部詳情，從而模仿銀行職工的行為，盜取資金和現(xiàn)金。

另外該組織還可以控制、操作銀行的ATM機，命令這些機器在指定的時間吐出現(xiàn)金。當?shù)街Ц稌r間時，該組織會派人在ATM機旁邊等待，以取走機器“主動”吐出的現(xiàn)金。

針對ATM的威脅

• 傳統(tǒng)威脅

這里所述的傳統(tǒng)威脅，主要指不利用網絡攻擊的情況。如下圖所示，針對ATM的傳統(tǒng)威脅主要分為這些方面。

1、卡復制是ATM安全的主要問題

通過卡復制裝置竊取卡號等信息的ATM犯罪由來已久，在全球范圍內，每年由于卡復制造成的經濟損失達24億美元。犯罪份子常見的手段是在ATM機上安裝非法設備從而讀取磁條信息。

2、軟件攻擊和外部破壞呈增加趨勢

針對ATM的軟件攻擊包括邏輯攻擊、黑盒子數(shù)據攻擊等。ATM普遍采用Windows開放平臺，犯罪份子通過CD-ROM或USB便可輕易將惡意軟件上傳至ATM中，從而離線控制出鈔命令，造成巨大的現(xiàn)金風險。其他作案方式還包括，犯罪份子撬開ATM上的箱體柜門，使用一臺電子設備取代ATM的工控機，鏈接到ATM的現(xiàn)金出鈔模塊，然后通過向現(xiàn)金出鈔模塊發(fā)送非授權命令，控制ATM出鈔。Times of Frauds調查顯示，自2013年以來，在全球范圍內，針對ATM的邏輯攻擊案件正在快速上升和蔓延。根據NCR Secure Fraud Net的統(tǒng)計數(shù)據，在過去的幾年內，全球ATM案件中物理攻擊類型增加了429%

利用網絡攻擊

1、惡意程序

在針對ATM的網絡攻擊中，主要是利用惡意程序進行后續(xù)攻擊，其中如何植入惡意代碼是一個關鍵。首先可以通過入侵銀行內部網絡，獲得ATM內部網絡權限進一步安裝植入，另外就是直接通過對ATM本身進行操作，如從光驅、USB等入口進行攻擊。相關惡意程序攻擊的目的基本都是使ATM在攻擊者的控制下進行吐鈔，而有些惡意程序也具備收集銀行卡等數(shù)據信息。

2、信息竊取

一般是攻擊者通過直接攻擊銀行等金融機構本身，或者采用其他途徑來獲得持卡人的信息（如：姓名、卡號、身份證號等）。在今年發(fā)生的南非標準銀行（Standard Bank）數(shù)據泄露導致日本1400臺ATM遭盜提14.4億是一個典型案例。

來自媒體的報道顯示，2016年5月15日，有網絡犯罪團伙南非標準銀行（Standard Bank）的泄露的數(shù)據制造偽信用卡，從日本1400臺便利店ATM機處取現(xiàn)14.4億日元，由于這些便利店的安保措施不夠，而且這些ATM機可以接受國外信用卡，從而讓犯罪分子得逞。

警方披露的信息顯示，黑客的行動明顯經過周密的安排，在5月15日清晨，分布在日本16個區(qū)縣的約100名嫌疑人，在兩小時內一共操作了14000次取現(xiàn)指令，涉及1600張信用卡，其中額度最高的一次取現(xiàn)操作達到913美元。

南非標準銀行已經表示將承擔本次黑客行為所造成的全部資金損失，持卡人將不會被追繳還款費用，這次信息泄露事件已為標準銀行帶來1925萬美元的損失，未來可能進一步增加。

3、攻擊的目標

從針對ATM的傳統(tǒng)威脅來看，基本目標都是針對持卡人，最終導致持卡人自己賬戶上的財產被竊取。在針對ATM的網絡攻擊中，一般以信息竊取的網絡攻擊，最終目標還是為了攻擊持卡人本身，如通過相關信息進行銀行卡復制導致金錢竊取。另一種則是針對銀行本身的攻擊，直接從ATM中盜取金錢，如本次臺灣第一銀行事件、Anunak攻擊相關銀行事件。

我們也發(fā)現(xiàn)在針對金融行業(yè)的網絡犯罪活動開始進化，進入一個全新的階段，惡意攻擊者從針對一般持卡人或普通用戶逐漸轉向瞄準銀行等金融機構本身，目的是直接竊取銀行本身的財產。

針對銀行系統(tǒng)的其他威脅

在針對金融機構本身，尤其是銀行業(yè)的攻擊中，除了針對ATM，還會針對銀行SWIFT系統(tǒng)，2016年2月孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件被曝光后，如越南先鋒銀行、厄瓜多爾銀行等，針對銀行SWIFT系統(tǒng)的其他網絡攻擊事件逐一被公開。

在相關事件曝光后，我們從對相關攻擊事件的戰(zhàn)術層面和技術層面的深入分析，我們認為近期曝光的這4起針對銀行的攻擊事件并非孤立的，而很有可能是由一個組織或多個組織協(xié)同發(fā)動的不同攻擊行動。

另外Anunak組織的相關攻擊行動中也有針對銀行SWIFT系統(tǒng)進行攻擊，但我們對其攻擊手法等分析，發(fā)現(xiàn)其幕后組織和攻擊孟加拉國央行應該不是一個組織。

關于SWIFT：

SWIFT全稱是Society for Worldwide Interbank Financial Telecommunication，中文名是“環(huán)球同業(yè)銀行金融電信協(xié)會”。1973年5月，由美國、加拿大和歐洲的—些大銀行正式成立SWIFT組織，其總部設在比利時的布魯塞爾，它是為了解決各國金融通信不能適應國際間支付清算的快速增長而設立的非盈利性組織，負責設計、建立和管理SWIFT國際網絡，以便在該組織成員間進行國際金融信息的傳輸和確定路由。

總結

通過深入跟進、分析臺灣第一銀行事件、孟加拉國央行等事件，我們發(fā)現(xiàn)針對金融行業(yè)的網絡攻擊已經開始進化，攻擊者的目標不在限于普通終端用戶，而逐漸瞄準金融機構本身。

另外這幾次針對銀行等金融機構的攻擊幕后或者其攻擊手法都是APT組織或者利用了APT攻擊方法，這說明APT組織開始進行針對商業(yè)的攻擊，而且會使用APT方法來進行商業(yè)類攻擊。

從今年上半年的金融行業(yè)安全事件來看，銀行等金融相關行業(yè)本身暴露出諸多安全問題。隨著調查的不斷深入，臺灣第一銀行遭受攻擊的流程已經逐漸清晰，但仍有諸多細節(jié)目前還未有公開解釋。但無論是相關人員工作疏忽遭受黑客攻擊或是有內部人協(xié)助攻擊者，攻擊者通過倫敦分行電話錄音主機進而入侵在臺的ATM機將惡意程序植入，下指令吐鈔，每一個環(huán)節(jié)都與金融安全密切相關。臺灣ATM盜領案雖已追回大部分贓款并逮捕部分嫌犯，但是不容忽視的是第一銀行的系統(tǒng)體系存在嚴重的安全問題。

關于ATM的一些安全建議：

1、升級操作系統(tǒng)

2、提供盡可能完備的物理保護并安裝監(jiān)控

3、鎖定BIOS，防止來自未經授權媒介的啟動，如可引導光盤或U盤

4、重置ATM機所有的鎖和主密碼，棄用機器自帶的默認設置和密碼

5、確保保護ATM機的反病毒解決方案或軟件是最新的

雷鋒網按：本文來自360安全衛(wèi)士（企業(yè)號），F(xiàn)reeBuf黑客與極客（FreeBuf.COM）發(fā)布雷鋒網，轉載請保留出處和作者，不得刪減內容。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。