在2023年,我們發現了一種新的攻擊銀行的方式——不再感染成千上萬使用者的電腦,而是使用了乙個名為skimmer的惡意軟體直接攻擊atm,今年,我們的全球研究與分析團隊和滲透測試團隊發現了乙個改進版的skimmer。
病毒式感染
攻擊者為了讓研究者難以分析其惡意軟體,通常使用加殼的方式掩蓋其惡意軟體**。skimmer也是這樣做的,他們使用了商業加殼工具themida,可以同時給感染器(infecotr)和釋放器(dropper)加殼。
惡意軟體執行起來後,它會檢查檔案系統是不是fat32。如果是fat32,它會在資料夾c:windowssystem32下釋放netmgr.dll檔案。如果是ntfs檔案系統,會在xfs服務的可執行檔案的ntfs資料流中儲存相同的檔案。將檔案放在ntfs資料流中可以增加取證分析的難度。
樣本在成功安裝之後,會修改xfs可執行檔案(spiservice.exe)的入口點。新增乙個loadlibrary函式呼叫,用來載入釋放的netmgr.dll檔案。這個檔案也被themida保護。
感染之前spiservice.exe的入口點
感染之後spiservice.exe的入口點
在成功安裝之後,它會重啟atm。由於新增了loadlibrary,惡意庫netmgr.dll會被載入到spiservice.exe程序中,這樣它就可以完全訪問xfs了。
功能
與tyupkin不同的是,該惡意軟體會在啟用的地方有乙個魔法碼(magic code)或者特定的時間機制,skimmer只有在插入魔法卡(magic card)(特別是track 2資料,具體內容請檢視文章底部的iocs)後才會喚醒。這是一種「聰明」的控制惡意軟體功能的辦法。
插入魔法卡後,惡意軟體開始準備與兩種型別的卡互動,每個卡都有不同的功能:
1.卡1-通過介面獲取命令
2.卡2-執行track2中硬編碼的命令
在卡彈出之後,它會給使用者顯示乙個對話方塊,最多持續60s,請求他們輸入會話金鑰。使用者通過認證後,可以通過鍵盤輸入指令**,惡意軟體會接受21個不同的指令**,這些指令**分別對應不同的行為。
下面是一些重要的功能:
1.顯示安裝資訊;
2.分發錢;
3.開始收集插入的卡的資訊;
4.列印卡的資訊;
5.自刪除;
6.除錯模式;
7.更新(卡中嵌入了要更新的惡意**)。
在執行的時候,惡意軟體會建立下面的檔案或ntfs流(根據檔案系統的型別有所不同)。惡意軟體在不同的階段會用到這些檔案,比如在儲存配置資訊,儲存卡的資料和記錄工作日誌的時候:
c:windowstempattrib1 從網路或者讀卡器中收集到的卡的資料;
c:windowstempattrib4 記錄與鍵盤相關的api的資料;
c:windowstempmk32 同attrib4;
c:windowstemp:attrib1 與釋放的attrib1檔案相同;
c:windowstemp:attrib4 與釋放的attrib4檔案相同;
c:windowstemp:mk32 與釋放的mk32檔案相同;
c:windowstemp:opt 記錄錢騾的活動。
freebuf百科:錢騾
錢騾(money mule)指通過網際網路將用詐騙等不正當手段從一國得來的錢款和**值貨物轉移到另一國的人,款物接收國通常是詐騙份子的居住地。money mule這個說法是在drug mule(藥騾)的基礎上衍生出來的。
主視窗結論
在最近的攻擊atm的事件中,我們發現了tyupkin,carbanak和black box攻擊。backdoor.win32.skimer惡意軟體的進化說明攻擊者對此類惡意軟體很感興趣,因為對攻擊者來說,通過atm比較容易拿到現金。
在這個案例中有乙個要注意的細節,就是track2中硬編碼的資訊,它只有在它插入atm之後惡意軟體才會啟用。銀行可以在他們的處理系統中主動尋找這些卡號,檢測受感染的atm、錢騾,或阻止啟用惡意軟體。
卡巴斯基實驗室已經發現了49個這個惡意軟體的變種,其中有39個變種是由同一夥人製造的。在2023年5月初發現了最新的版本。卡巴斯基將這些樣本檢測為backdoor.win32.skimer。將被修改的spiservice.exe檔案檢測為trojan.win32.patched.rb。
附錄1 感染指標
雜湊
f19b2e94ddfcc7bcee9c2065ebeaa66c
3c434d7b73be228dfa4fb3f9367910d3
a67d3a0974f0941f1860cb81ebc4c37c
d0431e71ebe8a09f02bb858a0b9b80380
35484d750f13e763eae758a5f243133
e563e3113918a59745e98e2a425b4e81
a7441033925c390ddfc360b545750ff4
檔名
c:windowstempattrib1
c:windowstempattrib4
c:windowstempmk32
c:windowstemp:attrib1
c:windowstemp:attrib4
c:windowstemp:mk32
c:windowstemp:opt
c:windowssystem32netmgr.dll
track 2 資料
******446987512*=********************
******548965875*=********************
******487470138*=********************
******487470139*=********************
******000000000*=********************
******602207482*=********************
******518134828*=********************
******650680551*=********************
******466513969*=********************
「Mask」行動 卡巴斯基發現新型APT
簡述 mask是一項至少始於2007年的高階威脅行動,並與多起網路間諜事件關聯。mask 由西班牙俚語 careto 醜陋的面孔 或 面具 得來,作者在一些惡意軟體模組裡參雜了 careto the mask 的特別之處在於攻擊者使用工具的複雜程度。它的 庫包括乙個極為複雜的惡意軟體,乙個rootk...
卡巴斯基安全軟體發現可利用的漏洞
google的project zero安全團隊發表部落格稱,俄羅斯安全公司卡巴斯基的防毒軟體發現了多個嚴重漏洞,影響範圍從網路入侵檢測 ssl攔截 檔案掃瞄,到瀏覽器整合和本地特權提公升。安全研究人員稱,大 部分問題仍然沒有修復,但卡巴斯基已經取得了進展,他因此披露了其中乙個最容易利用的高危漏洞,該...
卡巴斯基遭遇APT攻擊 隱藏數月未被發現
本文講的是卡巴斯基遭遇apt攻擊 隱藏數月未被發現,作為全世界領先的安全公司卡巴斯基,經常會披露它發現的各大機構被攻擊的安全事件,但現在可以談談自己了。尤金 卡巴斯基把這個apt惡意程式稱之為duqu 2.0,因為它與2011年發現的背後有國家支援的惡意軟體duqu有關。duqu最早出現在2011年...