Skimer帮助黑客轻松从ATM提取现金
作者: 日期:2016年05月19日 阅:2,750

卡巴斯基的安全研究人员发现,一个称为“Skimer”的恶意软件,其新版本可记录插入ATM的银行卡细节信息,并令柜员机吐出现金。该软件针对基于Windows操作系统的ATM柜员机。

atm-cash-machine-money-100616914-large

Skimer最早发现于7年前,但这个软件至今还在被网络犯罪分子使用,并随着时间而进化,最近的版本更是使用了新的技术以逃避安全检测。

在安装时,该恶意软件会检测当前的文件系统。如果是FAT32系统,它就会在C:\Windows\System32目录中留下可执行文件。如果是NTFS,则会把执行代码写入到与“微软金融服务扩展(XFS)”服务相一致的NTFS数据流中。这种“看碟下菜”的检测技术令取证分析更加的困难。

XFS服务只存在于Windows操作系统的ATM柜员机上,它提供一个特殊的API接口,系统软件通过这个接口与ATM键盘进行通信。XFS这个服务,微软并未提供任何公开的说明文档,但犯罪分子很可能通过ATM厂商NCR的一个编程参考手册获利的相关信息。这份手册在几年前,被一个中国的电子图书网站泄露到网上。

新版的Skimer可修改合法的XFS执行文件SpiService.exe,然后注入自身的恶意组件netmgr.dll,这个恶意组件的作用是在柜员机的键盘和读卡机之前进行交互。仅当磁条上带有特殊数据的银行卡插入ATM机时,Skimer才会被唤醒。这个特殊数据是指卡片磁条上第二轨道的硬编码信息,Skimer被唤醒后要么在ATM的屏幕上打开自己的界面(该动作需要得到验证),或者自动执行包含在数据中的命令。

攻击者得到验证后,就可以通过界面发送命令,让ATM柜员机内部的钞箱往外吐钞,并开始收集插入的银行卡细节信息,要么更新恶意软件要么进行卸载。

Skimer只是近年来感染ATM的数个恶意软件其中之一,反应了这种攻击在网络犯罪行为中逐渐流行的趋势。恶意软件安装到ATM上的方法,已经有所改变。在某些情况下,是由内部人员安装。但在另一些时候,则是使用特别的钥匙打开ATM机前盖后通过CD光驱安装。

如果攻击者可以连入银行的内网或者使用偷来的远程支持凭证的话,也可以使ATM机就范。

卡巴斯基的研究员建议,可以通过定期的反病毒扫描、白名单、有效的设备管理策略、全磁盘加密、通过口令保护ATM机BIOS安全、仅允许通过硬盘加载启动程序并将ATM机从其他银行内部网络隔离开这些手段,来保障ATM机的安全。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!