最近，有一群黑客將目標瞄準了俄羅斯的至少8臺ATM，一夜之間就竊取了80萬美元。但是攻擊者使用的方法卻非常奇幻。監控顯示一個黑客走向ATM機，甚至都沒有觸碰機器就把現金取了出來。

　　即使是那些被竊取的銀行，在ATM上還是找不到任何入侵的痕跡。唯一線索是某家銀行的專家在ATM的硬盤上發現的兩個包含惡意軟件日志的文件：kl.txt和logfile.txt。文件中的有兩個字符串：“拿錢吧”和“取款成功”。

　　盡管這個線索看似微乎其微，但是對卡巴斯基的研究員們而言這已經足夠。他們一直在調查針對ATM機的攻擊，想要找到攻擊背后所使用的病毒樣本。研究人員創建了YARA識別規則來捕獲樣本。YARA是一款模式識別工具，幫助研究人員識別惡意軟件。

　　今年2月，卡巴斯基實驗室報道稱，黑客使用“無文件病毒”成功攻擊了140家企業，包括銀行、電信和政府組織，范圍包括美國、歐洲等地區，不過攻擊的細節沒有做過多披露。

　　研究人員稱，攻擊銀行時所用的是一種無文件的病毒，它能夠存在內存中，而非像傳統惡意程序那樣駐足在硬盤中。

　　在圣馬丁島舉辦的卡巴斯基安全分析員峰會上， 研究員Sergey Golovanov和Igor Soumenkov深入介紹了ATM攻擊，向大家描述了如何使用無文件病毒進入銀行系統并提取現金 。

　　研究人員介紹ATM攻擊

　　這款被命名為ATMitch的惡意軟件之前在哈薩克斯坦和俄羅斯被發現，病毒通過遠程管理模塊遠程安裝和執行的。黑客可以通過SSH隧道部署惡意軟件并發送指令給ATM，從而獲取現金。

　　無文件病毒利用了ATM設備上的合法工具，惡意程序不會被安裝到系統上，ATM因此會把這些惡意代碼識別為正規軟件。然后遠程操控者會發送指令，而他們的同伙則會與此同時等候在ATM前將錢取走，這也就是為什么取錢的犯罪分子可以不接觸ATM機。一旦所有現金被取出，黑客就會“注銷”，留下非常少的線索。

　　從技術上講，惡意軟件一旦通過遠程桌面連接被安裝執行，就會尋找一個名叫command.txt的文件。從文件中讀取字符，這些字符關聯著不同的命令，按照攻擊者需要來執行。例如，“O”代表打開提款面板。 ATMitch會將命令的結果寫入日志文件，隨后從機器的硬盤中刪除command.txt。

　　攻擊的第一步依賴大量開源軟件。銀行發現了Meterpreter，黑客應該還使用了PowerShell腳本、NETSH和Mimikatz。為了消除痕跡，黑客有時還會使用SDelete，這是一款Windows命令行軟件，用于刪除他們的文件和目錄掩蓋痕跡。

　　然而，要進行這樣的攻擊，首先攻擊者需要能夠入侵銀行的后端網絡，這需要極高的網絡入侵能力。

　　精準的物理入侵

　　直接打開ATM的面板會觸發警報，黑客轉而使用了一種更加精準的物理入侵手段：在ATM機的前面板上鉆一個高爾夫球大小的洞，然后用串行分布式控制線(SDC RS485 standard)傳輸9字節的加密數據，從而打開提現的面板。

　　這個方法被曝光的原因是之前警方逮捕了一名偽裝成維修工的罪犯，當時他正在鉆孔，嘗試植入惡意代碼觸發提現面板，卡巴斯基的研究員借此還原了ATM攻擊的經過。

　　嫌犯被捕時攜帶著筆記本、電纜和一個小盒子。盡管研究人員沒有指明ATM機的生產商和受影響的銀行，但是他們警告稱，犯罪分子已經已經在俄羅斯和歐洲使用了這種鉆孔攻擊，并且實際上這種攻擊能夠影響全世界的ATM機。

　　目前大家還不知道這些ATM攻擊背后的組織或國家。但研究人員發現的“tv.dll”中存在俄語資源。

　　而攻擊的方法、過程與Carbanak和GCMAN組織十分相像。這些攻擊攻擊了30個國家的超過30個IP地址，但大多數影響的是美國和俄羅斯。犯罪分子利用后門安裝鍵盤記錄器來收集密碼。一些罪犯雇傭錢騾收錢，并將其轉移到SWIFT網絡上，而其他犯罪分子則通過ATM欺詐發財。

　　在去年的會議上，Golovanov和另一位研究員Vladislav Roskov透露了另外兩家銀行搶劫團伙Metel和GCMAN的細節。就像ATMitch背后的黑客一樣，這兩個組織都使用了正規的滲透軟件執行任務。 Metel使用了Mimikatz，而GCMAN使用了VNC、Putty和Meterpreter來控制系統。

　　最近無文件病毒攻擊形式也變得普遍起來。就在上個月，研究人員發現了一種無文件病毒，命名為DNSMessenger，它會使用DNS請求生成惡意PowerShell命令，從而加大病毒檢測的難度。

責任編輯：韓希宇