352
卡巴斯基實驗室:構建ATM僵屍網絡並不困難
卡巴斯基實驗室的研究人員認為,惡意攻擊者可通過專門的搜索引擎和特定關鍵字搜索聯網ATM機,然後組成僵屍網絡。
ATM機的“固有”弱點
卡巴斯基研究員Olga Kochetova和Alexey Osipov上周在羅馬尼亞首都布加勒斯特舉辦的DefCamp安全會議上解釋稱,ATM機每天都存有大量現金,網絡犯罪分子瞄準ATM機不足為奇。雖然有的攻擊者直接實施物理入侵,也有攻擊者則偏好利用ATM的軟件漏洞讓機器自動“吐鈔”。
ATM機運行的軟件存在漏洞,這一點不可否認。許多ATM機仍在運行過時的軟件,例如Windows XP,這就意味著它們易遭遇黑客攻擊。
另外,銀行通常不會更新ATM機,這也給惡意軟件和其它攻擊創造了可乘之機。ATM機的內部安全性差,保護現金的鏈條部分並沒有單獨受到保護,這就意味著某一部分被利用都可能使整個鏈條受牽連。
ATM變僵屍網絡的多種方式
惡意攻擊者能訪問ATM上運行的軟件,以此控製錢箱並提現。但是,訪問一台設備也可能會讓攻擊者攻擊銀行的整個ATM機係統,攻擊者可通過多種方式實現該目的:
對ATM實施物理訪問,並在其中安裝惡意設備;
攻擊監控銀行ATM機的電腦;
甚至發起供應鏈攻擊(從廠商或維修人員在ATM機上安裝的固件入手)。
研究人員解釋稱,攻擊者獲取了ATM機的訪問權便能在其中一台機器上安裝設備,並向網絡中的所有機器發送看似來自中央指揮中心的命令。 攻擊者之後可使用空白卡或其它任何卡,提取網絡中的任何一台ATM機上的現金。
研究人員表示這種方法可行,其原因在於所有銀行ATM機通常連接到平麵網絡(Flat Network),這就意味著網絡中的任何一台機器能看到其它聯網機器。因此,一旦攻擊者將惡意設備植入一台聯網ATM機中,攻擊者便能遠程控製多台機器。這是中間人攻擊的典型例子。再將惡意設備從ATM中取出,所有證據便會消失無蹤。
迄今為止尚未發現此類僵屍網絡,這還隻是一種可能性,但此前出現過信息竊取程序感染銀行網絡的案例。卡巴斯基研究員Kochetova指出,這可以被視為一類ATM僵屍網絡,因為所有設備均會遭遇感染,攻擊者可以遠程收集其中的數據。世界各地的攻擊者有可能會使用現金提取惡意軟件發起攻擊,而不使用嗅探器。
攻擊者還可能從ATM中取出VPN驅動,並通過該驅動連接到銀行的網絡,且不會被任何人發現。此類VPN設備無需依靠主機便能運作,因此攻擊者能在自己的電腦上使用。
ATM可被Shodan引擎搜索
研究人員還指出,另一個滲透ATM網絡的有效方式是:使用專門的搜索引擎(例如Shodan)發現網絡上的設備。雖然銀行通常聲稱ATM未聯網,但如果使用的關鍵詞或詞組正確,攻擊者能輕易找到這些設備。通過Shodan搜索發現存在漏洞的物聯網設備、不安全的數據庫和其它聯網設備比較常見,但是,搜索ATM機的現象之前未出現過。
卡巴斯基實驗室:構建ATM僵屍網絡並不困難-E安全
一旦發現在線ATM機,惡意攻擊者可能會開始檢查開放的端口,並設法攻擊存在已知漏洞的機器。這樣一來,攻擊者可以在ATM機上安裝信息竊取惡意軟件或組成僵屍網絡。
感染銀行內部的工作站,並延伸至整個網絡(包括ATM機)是攻擊者使用的另一種攻擊技術,例如Cobalt黑客組織。
諸如CCleaner和NotPetya在內的攻擊證明供應鏈攻擊可能會影響全球。卡巴斯基實驗室的研究人員表示,ATM機也可能會遭遇此類攻擊。為了成功實施攻擊,攻擊者會攻擊桌麵模板(Golden Image:用來在ATM機上安裝操作係統和所有運行的軟件)。
研究人員Osipov表示已經發現攻擊者通過被感染的U盤(技術人員連接到設備的U盤)在ATM機上安裝普通的惡意軟件。如果使用被感染的“Golden Image”,技術人員甚至不會察覺。他還指出,如果服務提供商被當成攻擊途徑,也會出現無人覺察的情況。
ATM僵屍網絡:一邊吐錢一邊挖礦
ATM機僵屍網絡還可能被用來進行加密貨幣挖礦活動。Kochetova指出,每台ATM機都相當於一台電腦,這就意味著,攻擊者利用漏洞就可以發起攻擊。這與感染監控攝像頭構成物聯網僵屍網絡一樣。
本文轉自d1net(轉載)
最後更新:2017-11-17 15:05:38