探索中国CIO人才现状 | 第四季调研报告
黑掉ATM取款机?只需一条短信
2014-03-28  作者:FreeBuf 

  “当爱已成往事,心里的伤痕犹存”。


  我们一直在说,4月8日之后微软将停止对windowsxp的技术支持,这名义上是一个时代终结的开始,历史的车轮必将倾轧过去,只剩下一声声叹息落地。我想在这叹息之余必然要谈及这样一件事,在世界上运行的300多万台ATM机器上,其中约95%依然是XP系统,于是全球即将迎来“旧”ATM“裸奔时代”,基础经济设施将面临严重的安全威胁。当然题外话总归有人会未雨绸缪,比如印度银行已经开始更换linux系统。


  关于升级原因


  赛门铁克的安全研究人员称:黑客可以利用基于ATM的XP系统的漏洞弱点,从而做到仅通过发送短信给这种已入侵的ATM机器就可以提取现金。


  研究人员称:“天降财神也不过如此,网络罪犯只需要发送短信到被入侵的ATM机,然后气定神闲的走到ATM机器面前,取走现金,然后气定神闲地离开。这听起来多么不可思议,然而更令你不可思议的是,此时或许这种技术在世界上不同地点正在进行实战演习。”


  ATMs的恶意软件


  据研究人员表明:在2013年,他们已经发现了一个命名为Backdoor.Ploutus(财神之路)的恶意软件,被安装在墨西哥的一些ATM机器上,目的是通过短信抢夺这种老旧类型的ATM机器里的现金。


  要安装这种恶意软件到ATM机器里,黑客必须通过USB数据连接线将一个手机连到ATM机器,然后启动一个共享的网络连接,然后就可以通过另一个手机发送特定的短信指令给连接ATM机器的手机从而控制安装在内的恶意软件。


  “由于连接ATM机器的手机是通过USB端口连接得,手机一方面消耗电,另一方面通过USB进行充电,这样就可以进行持续"续航"”。


  如何攻击ATMs


  通过USB将手机和ATMs连接,并安装Backdoor.Ploutus(财神之路)恶意软件


  攻击者发送两条短信给内置于ATM机器里的手机


  短信1包含一个有效的激活指令来激活内置恶意软件


  短信2包含一个有效的命令让ATM机器自动吐钱


  3.内置于ATM机器的手机检测到有效的SMS短信消息,向ATM机器发送TCP/UDP数据包


  4.NPM(Networkpacketmonitor)模块识别TCP/UDP数据包,如果其中包含有效命令,就执行Backdoor.Ploutus(财神之路)恶意软件


  5.ATM机器吐出现金的多少被预先配置在恶意软件中


  6.最后,黑客就可以从已入侵的ATM机器提取现金走人


  如何防范


  现在的ATM机器已经增强了安全防范措施,如加密硬盘驱动器,它可以在一定程度上防止这种安装技术。但对于一些较旧得运行XP的ATM机器,防范这类攻击就具有很大的挑战性,特别是一些机器已经部署在各个不同位置上。另一个需要解决的问题就是ATM机器内置系统的物理安全性,虽然ATM机器里现金是在安全锁里的,但是一般系统没有。如果这一些较旧的ATM机器不进行足够的物理安全措施防范,那么对于攻击者而言就太如鱼得水了。


  为了加大这种犯罪行为难度,防患未然,可采取下列措施:


  升级到有技术支持的操作系统,如Win7或Win8


  提供充分的物理保护措施,并通过闭路电视监控的ATM机器


  锁定BIOS以防止未经授权的媒介,如CDROM或U盘启动


  采用全磁盘加密,以防止硬盘篡改


  使用系统锁定解决方案,如先进的服务器


  此外,研究人员也发现了一些更为高级的恶意软件的变种,可以窃取客户信用卡信息和PIN数据,甚至进行中间人攻击。


  这款恶意软件正在向各个国家蔓延,所以建议您稍加留意,在使用ATM时要额外小心。