當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

新款ATM恶意软件Alice 可对抗动态分析但目前需要物理接触主机

發布時間：2023/12/6 编程问答 20 豆豆

生活随笔收集整理的這篇文章主要介紹了新款ATM恶意软件Alice 可对抗动态分析但目前需要物理接触主机小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

趨勢科技（Trend Micro）安全公司的研究人員警告稱，新發現的惡意軟件家族主要針對ATM機（自動取款機），唯一目的就是要掏空ATM機保險箱里的現金。

這款惡意軟件被稱為“Alice”，是迄今最大的ATM威脅。Alice沒有竊取信息的功能，甚至無法通過ATM機的數字鍵操控。Alice最早發現于2016年11月，但被認為自2014年起就已存在。趨勢科技表示，雖然這類威脅已存在九年多時間，Alice只是至今見到的第8個ATM惡意軟件家族。

使用惡意軟件要求物理連接到ATM機。趨勢科技表示，惡意軟件被設計成錢騾，以竊取受攻擊ATM機內的所有現金。去年，惡意軟件GreenDispenser就是這樣做的。

然而，與GreenDispenser不同，這種新威脅并沒有連接ATM機的密碼鍵盤，可通過遠程桌面協議（RDP）來使用，但趨勢科技表示，目前并沒有證據表明此類使用方法。

惡意軟件分析顯示，Alice（二進制版本信息中包含此名稱）中有一個名為“VMProtect”的商業化、現成的軟件包/混淆器，可防止調試器內部的執行。此外，該惡意軟件可在執行前進行環境檢查，如果發現不是運行在ATM機上，則會自行終止（它會檢查多個注冊表鍵，并需要在系統上安裝特定的DLL）。

在機器上運行時，Alice在根目錄下對兩個文件進行寫操作：名為xfs_supp.sys、大小為5 MB+的空文件和名為TRCERR.LOG的錯誤日志文件。接著，它連接到XFS環境中的分配器（currencydispenser1），如果PIN碼正確，它將顯示各個鈔箱的信息，并取走機器里的現金。

由于惡意軟件只連接currencydispenser1，但并未嘗試使用機器的密碼鍵盤，研究人員認為，攻擊者只是通過物理方式打開ATM機并通過USB或光盤進行感染。并且，研究人員還表示，攻擊者將鍵盤與ATM機的主板進行連接，并通過這種連接來操控惡意軟件。

安全研究人員發現，Alice支持以下三個通過具體PIN碼發布的命令：用于丟棄卸載文件的命令、用于退出程序并運行卸載/清除程序的命令，以及用于打開“操作面板”的命令。操作面板中可顯示ATM機中的現金信息。

PIN Code	Description of Command
1010100	Decrypts and drops file?sd.bat?in current directory. This batch file is used to cleanup/uninstall Alice.
0	Exits the program and runs?sd.bat?. Also deletes?xfs_supp.sys?.
specific?4-digit PIN?based on ATM’s terminal ID	Opens the “operator panel”.

攻擊者只需輸入鈔箱ID，ATM機就會為其分配現金。分配命令通過WFSExecute API發送至CurrencyDispenser1。通常，ATM機都有每次40張鈔票的分配限制，攻擊者執行重復操作就可以清空鈔箱中存放的所有現金。屏幕上會動態顯示剩余現金的信息。這樣，攻擊者就知道鈔箱何時已被清空。

趨勢科技認為，攻擊者手動更換了已感染Alice惡意軟件的目標機上的Windows任務管理器，因為惡意軟件通常是在受感染的系統上以taskmgr.exe的形式被發現的。Alice并沒有持續的方法，但將它作為任務管理器運行意味著每次發出調用任務管理器的命令時都會調用Alice。

“在現金分配前需要輸入PIN碼，這表明Alice惡意軟件只用于個案攻擊。Alice惡意軟件沒有精心的安裝或卸載機制—它的工作原理僅是在適當的環境中運行可執行文件?！毖芯咳藛T如是說。

PIN認證系統類似于其他ATM惡意軟件家族所用的系統，但前者還提供惡意軟件作者，能夠控制訪問Alice的人。通過改變樣本之間的訪問代碼，惡意軟件作者可防止錢騾共享代碼，或者可跟蹤個人錢騾，或兩者都可以。

所分析樣本中使用的是四位密碼，但其他樣本中可能會使用更長的PIN碼。PIN碼不能被暴力破解，因為Alice在自行終止和顯示錯誤信息前接受輸入限制。研究人員還認為，Alice可運行在配置使用微軟擴展金融服務中間件（XFS）的任何廠商硬件上。

趨勢科技表示，

“現在，ATM惡意軟件屬于惡意軟件中的利基類，被數個犯罪團伙用于高針對性的攻擊中。我們現在正處于ATM惡意軟件日漸成為主流的時期。”

錢騾（Money mule）指通過因特網將用詐騙等不正當手段從一國得來的錢款和高價值貨物轉移到另一國的人，款物接收國通常是詐騙份子的居住地。Money mule這個說法是在drug mule（藥騾）的基礎上衍生出來的。

小編：這不就是網絡洗錢的人嘛

原文發布時間：2017年3月24日?

本文由：securityWeek?發布，版權歸屬于原作者

原文鏈接：http://toutiao.secjia.com/new-atm-malware-alice

本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站

以上是生活随笔為你收集整理的新款ATM恶意软件Alice 可对抗动态分析但目前需要物理接触主机的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。