ATM机及ATM机恶意软件攻击的发展及演变史

会员服务 ·

ATM机及ATM机恶意软件攻击的发展及演变史

2017 年 9 月 27 日 E安全 E小编

E安全9月28日讯趋势科技与欧洲刑警组织欧洲网络犯罪中心（简称EC3）9月26日联合发布ATM攻击报告，挖掘攻击ATM的恶意软件深度与广度，以及攻击背后的罪魁祸首。

ATM从现金到无现金交易的发展

预计到2021年，全球ATM机的数量将稳步增加至400万台，但由于EMV迁移（磁条卡向芯片卡迁移）等因素美国可能只是名义上的增长。

EMV是Europay、MasterCard、VISA三大国际银行卡组织共同制定的芯片卡规范，是芯片卡与芯片终端之间的交互对话机制。

ATM行业协会（简称ATMIA）发布的分析报告显示，美国目前使用的ATM机数量介于47.5万—50万之间。

ATM机及ATM机恶意软件攻击的发展及演变史-E安全

ATM的组件

ATM机的新功能和服务不断取得创新，这将给实体银行产生直接影响。ATM机已在提供个人对个人（P2P）转账服务，从而增强现金的可用性、降低交易成本、加强货币的互用性，还能购买并销售加密货币。Coin ATM Radar（比特币提款机雷达）显示，全球约有1600台比特币ATM机。

Coin ATM Radar 是一个显示最新的支持比特币的ATM提款机的地图软件,用来快速找到比特币ATM的位置。

将来，近场通讯（Near Field Communication，NFC）、蓝牙和iBeacon手机将使无卡现金交易成为可能。此外，未来还会出现基于应用程序的更具个性化和定制化的服务。然而，连接性和应用程序驱动的服务同时也会加大风险。

近年来，ATM盗窃方式呈现多样化：炸保险柜、借助ATM skimmer（“ATM分离器”，附在ATM机上的恶意电子硬件设备）、附上虚假键盘安装可执行恶意软件，尤其网络犯罪分子大量采用恶意软件攻击ATM机的方式，主要原因是许多目标ATM机仍在使用过时操作系统，这类系统无法接收重要的安全更新。

网络犯罪分子常使用恶意软件实施攻击，获取ATM机的物理访问权，从而盗取现金，然而，如今这些网络犯罪分子发现一个更天衣无缝的感染途径，无需插入可移动硬盘，更不会留下指纹和监控录像等证据，ATM机毫无遭遇物理干预的迹象，但里面的现金却被洗劫一空，不止安装在偏远地区、隐蔽街道或其它不安全地点的ATM机均面临这类攻击风险。

社会工程在渗透银行网络时发挥重大作用

网络犯罪分子永无止境地敛财。除了惯用的ATM攻击方式，他们还发现可通过银行的网络攻击ATM机。网络犯罪分子总是通过社会工程进入银行网络，而银行职员在感染链中成了最薄弱的环节。基于网络的ATM盗窃远比物理攻击复杂，这也是更有利可图的“赚钱”方式。

趋势科技和欧洲刑警组织欧洲网络犯罪中心合作研究ATM恶意软件多年来的演变情况，以及如何通过更隐秘的功能攻击大量ATM机。

对ATM的攻击方式演进

2009年，针对ATM机的传统物理攻击开始浮出水面，当时研究人员发现Skimer恶意软件。借助此类恶意软件，网络犯罪分子一旦取得物理访问权便会利用USB端口或光盘驱动器感染ATM机。在某些情况下，网络犯罪分子可能还会连接外部键盘操作ATM机。

ATM机及ATM机恶意软件攻击的发展及演变史-E安全

物理手段老式攻击

自2009年以来，不同类型的ATM恶意软件各显神通，包括“吐钞”等功能。2016年，趋势科技与欧洲刑警组织欧洲网络犯罪中心合作发现恶意软件家族“Alice”，其通过可执行文件发起攻击，攻击者可借此清空保险柜，获取大量现金。

安装ATM恶意软件通常需物理访问目标ATM机。一旦在ATM机上安装恶意软件，网络攻击分子通过扩展金融服务标准（XFS）中间件向ATM设备发送命令，从而达到提现的目的。

ATM机及ATM机恶意软件攻击的发展及演变史-E安全

典型 ATM恶意软件物理攻击实施过程

恶意软件感染银行网络攻击ATM

如今，银行机构不仅应警惕恶意软件感染，还应提防攻击者渗透网络的可能性。最近，一大波远程策划的攻击席卷不同国家大量ATM机。网络犯罪分子攻击银行内部网络渗透ATM机的基础设施。然而，奇怪的是，美国和加拿大等地区尚未报告过这类复杂的技术。

此类恶意软件较为出名的要数“Ripper”——首款感染ATM机却未实施物理攻击的案例。曾攻击了泰国的ATM机，据传盗取了约1200万泰铢（约合人民币239万）。在这起攻击中，犯罪分子在入侵了银行网络之后将Ripper散布至ATM机。

ATM机及ATM机恶意软件攻击的发展及演变史-E安全

典型的ATM恶意软件基于网络的攻击案例

虽然基于网络的攻击的实施步骤比物理攻击多，但对于网络犯罪分子的吸引力在于无需搜索目标ATM机就能提取现金。这类网络犯罪分子通常会向银行职员发送网络钓鱼电子邮件。一旦恶意软件开始执行，银行的内部网络就此遭到渗透。犯罪分子通过银行网络访问权在网络内横向移动控制ATM机，甚至能在一起攻击中同时感染多台设备。一些恶意软件家族甚至还具有自行删除功能，从而有效掩盖犯罪痕迹。

2016年7月，东欧网络犯罪分子使用恶意软件提取中国台湾地区41台提款机250万现金。另外，Cobalt Strike、 Anunak/Carbanak、Ripper和ATMitch均刷新了人们对ATM机攻击的认识。这些攻击强调不安全的公司网络最终会成为全球ATM机基础设施遭遇攻击的突破口。

如何保护ATM机安全？

研究人员为金融机构的安全管理员提出以下预防建议：

升级操作系统、软件堆栈和安全配置。

及时为公司网络基础设施和ATM机打补丁。

使用白名单技术保护环境，因为大多数设备具有固定功能。

引入入侵防御和检测机制，以识别恶意系统行为保护ATM机。

实时监控安全硬件和软件事件。

在技术人员的笔记本和USB设备上部署并使用反恶意软件解决方案。

培训服务技术人员适当处理USB可移动媒体设备。