Top
首页 > IT产品和服务 > 第一资讯 > 正文

双重攻击:攻击者使用无文件恶意软件攻击银行的目的是什么?

发布时间:2017-04-21 16:43        来源:china.com        作者:

2017年2月,卡巴斯基实验室公布了对一起神秘的针对银行实施的无文件攻击的调查结果:网络罪犯使用了驻留内存的恶意软件感染银行网络。但是,他们为什么要这样做呢?ATMitch攻击案例让我们了解整体情况。

受攻击银行的取证分析专家从受攻击的ATM机硬盘中恢复了两个包含恶意软件日志(kl.txt和logfile.txt)的文件,并将这些文件分享给卡巴斯基实验室进行分析。这是攻击后仅存的文件,我们无法恢复恶意可执行文件,因为在完成盗窃后,网络罪犯就清除了所用的恶意软件。但是,就算是这些微量的数据,也足以让卡巴斯基实验室开展成功的调查。

一天,银行的员工发现一台被盗空的ATM机:里面没有钱,也没有他人物理接触机器的痕迹,而且也没有发现恶意软件。卡巴斯基实验室专家对这起神秘的案件进行调查后不仅发现了网络罪犯在盗窃中使用的网络犯罪工具,还重现了攻击过程,发现银行被入侵事实。

通过日志文件,卡巴斯基实验室专家发现了明文形式的信息碎片,帮助他们为公共恶意软件资源库创建了YARA规则,用于查找恶意软件样本。YARA规则从本质上来讲是一种搜索字符串,能够帮助分析人员查找和分类相关的恶意软件样本,基于它们在系统上的可疑行为或网络上的相似之处,发现它们之间的关联。

经过一天的等待,安全专家发现了一个想要的样本——“tv.dll”,或者被称为“ATMitch”。这种样本被发现了两次,其中一次在哈萨克斯坦,另一次则是在俄罗斯。

这种恶意软件是远程安装到银行的ATM机上的,并且远程控制和执行。安装并连接到ATM机上后,ATMitch恶意软件会伪装成合法软件同ATM机进行通讯。攻击者可以通过通讯执行一系列命令,例如获取ATM机的储钞盒中现金的数量。更为重要的是,网络罪犯可以通过按下一个按钮,随时可以从ATM机中提取现金。

通常,网络罪犯会首先获取ATM机的储钞盒中所存的现金数量信息。之后,网络罪犯可以发送一条命令,指定任意储钞盒吐出任意数量的现金。盗取现金后,网络罪犯只需拿上钱离开就可以。这种ATM盗窃仅需几秒就可以完成!

完成盗窃后,恶意软件会从系统中删除自己的痕迹。

目前仍然不知道这起攻击的幕后攻击者是谁。网络罪犯在攻击第一阶段,使用了开源的漏洞利用代码、常用的Windows工具以及未知的域名,使得我们很难判断幕后网络罪犯的身份。但是,ATM阶段攻击所使用的“tv.dll”包含俄语资源,而符合这一特征的网络犯罪组织有GCMAN 和Carbanak。

卡巴斯基实验室首席安全研究员Sergey Golovanov说:“目前,攻击者可能还在活跃。但是不要惊慌!要对抗这类攻击,需要安全专业人员的特殊技能,为目标组织提供保护。要想成功入侵网络,并且从网络中窃取数据,只能通过常用的合法的工具。攻击成功后,网络罪犯会清除所有可能导致自己被发现的数据,不留下任何痕迹。要解决这些问题,内存取证分析是必不可少的,可以全面分析恶意软件和其功能。正如我们处理的案例显示,精心部署的事故响应能够帮助解决策划完美的网络犯罪。”

卡巴斯基实验室产品能够成功检测上述攻击策略、技术和步骤。想要了解更多关于这次攻击的详情以及无文件攻击的取证分析Yara规则详情,请阅读Securelist.com上的相关博文。此外,卡巴斯基情报服务客户还可以获取有关攻击的技术详情,包括感染痕迹等内容。

合作站点
stat