清空購物車不可怕，黑客想清空 ATM 機：來，乖乖吐錢

能力越大，作惡后果就越可怕。

雷鋒網說的當然不是愛剁手的女人，而是比清空購物車更可怕的清空 ATM 機。

兩年前，卡巴斯基發現了一款新型惡意軟件，可直接從 ATM 機上盜取資金，至少有 140 家銀行和企業的網絡被此類惡意軟件感染。遭遇攻擊的銀行和企業分屬 40個不同國家，其中，美國、法國、肯尼亞、厄瓜多爾、英國的大兄弟受到的攻擊最嚴重。

這種惡意軟件有個牛氣哄哄的背景：它從復雜的計算機蠕蟲病毒 Stuxnet 衍生而來，之前，這個軟件是由美國和以色列開發，用來攻擊伊朗的核設施。

萬萬沒想到，攻擊核設施的惡意軟件還能用來搞垮 ATM，黑客為了掙錢，條條大路通羅馬。黑客還挺狡猾，使用了常見的系統管理軟件和安全軟件偽裝這款惡意軟件，大大降低了它被發現的幾率。

美國時間 10 月 11 日，外媒又報道，上次揪出了偽裝的 ATM 惡意軟件，這次卡巴斯基又發現了一個新惡意軟件，還給它取了個名字叫“ATMii”。意思很明白了：ATM 2.0 版本！

“ATMii”是個什么鬼

不過，卡巴斯基把這個發現捂在手里大半年才被媒體報道出來。

今年 4 月，卡巴斯基就發現了 ATMii 惡意軟件，它會執行兩個模塊：注射器模塊（exe.exe）和要注入的模塊（dll.dll），從而從目標機器中偷錢。

這個惡意軟件的安裝很簡單：直接物理訪問或網絡訪問目標 ATM，安裝惡意代碼。

卡巴斯基拿到這個惡意軟件的樣本后進行了分析：注入器是不受保護的命令行應用程序，以 Visual C 語言編寫，還在上面搞了個四年前的假編譯時間戳混淆視聽。惡意代碼適用于 Windows XP 以及更高版本的系統，而這些正是大部分 ATM 的運行系統。

同行相輕，黑客界也不例外。

卡巴斯基的研究員一邊分析一邊吐槽：針對 atmapp.exe（專有ATM軟件）進程的注入器寫得相當爛，因為它取決于幾個參數。如果沒有給出來，應用程序就會捕獲異常。

下面就是可能只有安全人員才看得懂的 blabla了：

支持的參數包括：

/ load，它試圖將dll.dll注入atmapp.exe。

/ cmd，它創建或更新C：\ ATM \ c.ini文件，將命令和參數傳遞給受感染的庫。

/ unload，它嘗試從atmapp.exeprocess卸載注入的庫，同時恢復其狀態。

可用的命令允許分配所需數量的現金，檢索有關ATM現金卡的信息，并從ATM中完全刪除C：\ ATM \ c.ini文件。

注入DllMain函數后，dll.dll 庫加載 msxfs.dll，并使用函數mWFSGetInfo替換WFSGetInfofunction。

注入的模塊嘗試找到 ATM 的 CASH_UNIT 服務 ID 并存儲結果。

如果成功，所有連續的調用將重定向到mWFSGetInfofunction，該函數從C：\ ATM \ c.inifile中解析并執行命令。

卡巴斯基的研究人員提出了兩個措施：默認拒絕和設備控制。

第一個措施可以防止黑客在 ATM 的內部 PC 上運行自己的代碼，而第二個措施將阻止黑客連接新的設備，比如 U 盤。

讓 ATM 吐錢其實很簡單

這句話絕對不是雷鋒網宅客頻道（微信公眾號：letshome）瞎編的，但請注意，這是有水平的黑客自己說的。

事實上，今年9月，卡巴斯基還曝光了一款ATM 惡意軟件“ATMitch”，這個惡意軟件可讓攻擊者非法取款，然后可自行刪除記錄。

ATMitch 惡意軟件攻擊的第一階段需要獲取銀行系統的訪問權限，然后使用開源或其他公開可用的公用程序來控制系統以及攻擊其他 ATM 。由于它在內存中運行，這種無文件惡意軟件會在受感染系統重啟后消失。

早在 2016年，卡巴斯基實驗室滲透測試專家就在題為《采用惡意軟件（和非惡意軟件）方式攻破ATM機》的演講中，深度剖析了 ATM 機易受攻擊的原因。

卡巴斯基給出的原因不多不少，有七條：

1.ATM 機本質是一臺電腦。就算裝了工業控制器，在 ATM 機系統里說了算的還是傳統的 PC 電腦。

2.在 2016年的演示中，卡巴斯基稱，演示的那臺 PC 電腦有很大可能是由非常老舊的操作系統所控制，例如：Windows XP。由于微軟不再提供技術支持，所有零日漏洞將永久存在且沒有任何補丁修復。不少黑客對雷鋒網表示：就算微軟常常發補丁，大家打補丁的速度還是跟不上，尤其是工控設備，一次更新你以為鬧著玩哦！

上述也提到，ATMii 針對的還是Windows XP 和更高版本的系統。

3.ATM 機里運行了很多有漏洞的軟件。系統有漏洞還不算，安裝的軟件繼續補刀。

4.卡巴斯基稱，ATM 機生產商似乎一廂情愿地認為 ATM 機 總是”正常工作”，且永遠不會出錯。因此，沒有任何軟件的完整性控制，也未安裝任何反病毒解決方案，更不用提對向自動提款機發送命令的應用程序的安全認證。

5.安全人員吐槽：ATM 機看上去做得那么堅固，用的材料也是極好的，但為什么 ATM 機的電腦外殼卻是由塑料造的？最好的也只有薄金屬保護，這個鎖就更簡單了，這不是輕易讓人就能破掉嗎？

6.ATM 會與處理中心聯網。

7.ATM 機模組通常連有各種標準接口，比如，COM和USB端口。有時這些接口就按在機柜外部，任何人都能輕松訪問。即使未按在外部，犯罪分子也能想出各種辦法連接這些端口。

參考鏈接：

https://www.kaspersky.com.cn/blog/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/3928/

http://securityaffairs.co/wordpress/64196/malware/atmii-atm-malware.html

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。