本人在一銀ATM被盜領的事件爆發後，第一時間即已撰文推斷原因，詳見：

「第一銀行ATM遭駭 34台吐出7000萬」，這家公司的 ATM 用什麼作業系統？

至於後門程式的感染途徑，在下要說：除非有內鬼，否則這應該是一種APT攻擊的結果。

什麼是 APT 攻擊？

APT 是指：進階持續性滲透攻擊(Advanced Persistent Threat，APT)，簡單來說，駭客會鎖定攻擊目標，然後蒐集情報，以各種工具進行滲透，接著感染目標組織的主機（包含USB碟，應用程式等）或伺服器，然後植入後門程式，後門程式會等待攻擊指令的發動，一旦時機成熟（例如感染的機器數量夠多了），駭客便發起攻擊，目標就得手了。

以這次一銀案為例，其入侵途徑可能為：

惡意程式網站或郵件附檔–>感染金融單位員工或資訊人員的電腦–>感染USB碟或作業更新程式–>員工用USB碟插入ATM主機或使用數據機或傳輸軟體，上傳更新作業程式或要在ATM上播放的廣告影音檔–>感染ATM。

可能有人會問：ATM 主機有 USB 埠嗎？答案是有的，請看下圖：

昨天有警官聲稱如下入侵方法，根本是外行人亂講混話。。。

熟悉網路科技犯罪的官警說，歹徒在ATM輸入一組數字後，電腦切換至「控制模式」，再操作軟體更新，更新過程螢幕會秀出「帳號及密碼」，歹徒取得帳密後輸入獲得控制權，可自由操作ATM，就像打電玩遊戲的隱藏版「密技」，玩家輸入一組指令變身「無敵狀態」，享有升級功力或無限道具。

另一則新聞可證實本人的推斷：

（自由時報）第一銀行發生ＡＴＭ遭駭自動吐鈔盜領八千萬案，檢調人員發現有卅八台ＡＴＭ被植入「cngdisp.exe」及「cngdisp_new.exe」等兩款新種惡意程式，研判駭客集團利用ＡＴＭ系統更新時植入，再由車手於特定時點，透過手機、平板等載具喚醒程式，ＡＴＭ即會瘋狂吐鈔。

本案只有兩種可能：

1. 內鬼利用維護更新程式時，植入後門。
2. APT 攻擊，如上所述。

至於破案難度，如果是內鬼所為，那麼破案不難；但若是遭受APT攻擊，一銀恐怕只能自認倒楣了（主謀追查不易）。

那麼被盜領的七千萬元呢？

本案分工精細，二名已出境的蘇聯男子只是車手，錢應該還在國內，由專人進行洗錢，如果能沿路調出監視器的錄影畫面，追查錢的大致流向方位，以錢追人，或許可以揪出內鬼或幫兇，但主謀從頭至尾應該都在國外，其身份一定隱藏得很好，以目前台灣和各國並沒有司法互助的情況下，要追捕主犯難度很高。

最後一點，對「cngdisp.exe」及「cngdisp_new.exe」做逆向工程分析，或許可找出一些蛛絲馬跡，理由是：寫程式的人多少都有固定的習慣（叫用相同的asm副程式），分析調用程式碼的手法、技術模式，也可判斷寫程式的駭客集團。

題外話：有些人對逆向工程嗤之以鼻，以為這只是玩破解者的小技倆(哈！我小時候就玩過了，不就是改幾個 nop 90 90 一下嗎？)，其實，對資安而言這是非常重要的技術，逆向工程分析能力越強，越能提升資安防護強度，也能對攻擊者進行反擊，最重要的是可建立各種攻擊程式的技術模式資料庫，分析並提取其技術精華為我等所用（比如：培養 BOB、分析駭客集團…）。

2014 年之前，XP ATM 佔全世界ATM 比重是 95%，自從微軟宣佈中止 XP 的安全支援之後，這些使用 XP ATM 的金融機構「頭殼真正是抱著燒」，須知，一部 ATM 價格動軋台幣上百萬（約在$15000~$60000美元之間），其使用周期若沒有10至15年，難以回收成本。在商言商，金融單位不可能在賠本的情況下逃汰這些舊機器，結果是，各家銀行只能燒香保佑自己的 XP ATM 不要出問題，但是，太平的日子真能長久嗎？網路上金融駭客虎視耽耽，稍有縫隙，入侵盜款，也是舉手之勞而已。。。一銀 ATM 被入侵一案，想必也只是冰山一角，若不及時明快處置，後續未爆彈，恐怕一顆又一顆。。。

Linux ATM 可能是不錯的選項。。。

Linux 平台升級及安全修補比起 XP/Windows 等平台而言，相對容易，也不會受到特定廠商的拘束（因為開源嘛），國內金融機構實在可以好好列入考慮，若是自主開發，未必不可行喲！

 

如果沒記錯，現在郵局用的 ATM 好像也是 Wincor 的主機，上次特別瞄了一下機器外殼，就有個 Wincor 公司的 mark。

至於是不是和一銀被入侵出事的這批ATM同一型號，那就待查了。。。

以下是中華郵政公司的採購項目。。。事實上，這些資訊都是駭客觀察收集的重點，如果證實：這二位蘇聯車手能夠得手並順利出境，那簡直是在台灣資安臉上吐了大大一口口水。。。

先來看這則新聞：

中央社記者田裕斌台北12日電）自動櫃員機（ATM）驚爆安全漏洞，第一金控旗下第一銀行部分自動櫃員機遭到有心人士植入惡意程式，盜領超過新台幣7000萬元。

一銀表示，還在清查問題所在，客戶權益不受影響。

一銀副總經理葉仲惠表示，目前所知包括台北市、台中市有34台ATM遭到破解，遭盜領金額超過7000萬元，目前已向警方報案，將由檢調調查相關案情。

葉仲惠指出，目前所知ATM是遭到有心人士各個擊破，經由在個別ATM植入惡意程式後，使ATM自動吐鈔，由於並非從客戶的帳戶中盜領存款，因此客戶權益不受影響。

由於能夠不經由銀行主機控制個別ATM的人只有銀行行員、負責補鈔的保全人員及系統維護人員，未來一銀將從這3方面清查遭到植入惡意程式的原因。1050712

再來看這一則：

社會中心／綜合報導（ETtoday 新聞雲）

國內金融史上首見的金融犯罪！第一銀行自動櫃員機（ATM）驚爆遭無卡盜走7000萬！第一銀行台北、台中34台ATM疑遭植入惡意程式異常盜領，2名歹徒在沒有操作ATM，竟然讓34台ATM吐出7000萬元，一銀已緊急報警處理，並向調查局備案，部分ATM 暫停服務，但強調客戶權益不受影響。

第一銀行經全面清查銀行ATM，初步瞭解可能遭有心人士各個擊破，經由個別ATM植入惡意程式驅動吐鈔模組執行吐鈔，因皆屬德利多富(Wincor)公司的同一款機型，目前該款機型已全面暫停服務。

第一銀行指出，由於遭盜領ATM皆非透過一銀帳務系統取款，因此並不影響客戶存款，客戶權益完全受到保障，且本案因與帳務及帳戶無涉，故與「無卡提款」完全無關。

由此可見，出禍原因是：作業系統有漏洞，被人植入了後門程式。

那麼，德利多富(Wincor)公司的 ATM 用哪一種作業系統？根據該公司2013年公佈的資料：http://www.wincor-nixdorf.com/internet/EN/WincorNixdorf/Press/pressreleases/2013/eolxpen.html

02.12.13

Secure operation of self-service terminals after end of support for Windows XP

Currently, a majority of all the ATMs and account statement printers installed around the world runs on Windows XP. However, Microsoft is discontinuing support for this operating system as of April 8, 2014. From this point on, Microsoft will no longer provide security-related patches for Windows XP – and as a result, various security requirements, including the PCI-DSS standard, can no longer be fulfilled, since this standard requires that device software always be kept up to date.

。。。。。。

“With this software, Wincor Nixdorf bridges the gap between the widely used Windows XP operating system and the PCI DSS security requirements,” explains Stefan Wahle, Vice President of Software Solutions at Wincor Nixdorf. “Our new PC/E Terminal Security software gives our customers time to plan and implement their transitions to Windows 7 carefully. And the use of PC/E Terminal Security pays off down the road, too, since its comprehensive security protection for ATMs remains in force even after migration to Windows 7.”

所以，事實很清楚啦，不是 XP 就是 Win 7。升級 ATM 是很費錢的，或許銀行為了節省成本，讓老一批的 XP ATM 繼續運作也未可知。

以前，颱風天去郵局 ATM 領錢，也曾遇過 ATM 當掉的情形，睜大眼睛一看，乖乖隆地咚，發現 XP 的桌面竟然跑出來了。。。那時心想，終究有一天，這肯定會出大問題。。。如今，果不其然。

藉此入侵事件，國內各金融機構應好好清查一下自身的ATM，該升級該修補就趕快處理一下吧！未來採購ATM時，作業系統也應列入重要考慮的指標，也就是說：如果 Linux ATM 成熟了，是否給它一個機會？

 

專門提供 DNS BIND/DHCP 套件的 ISC.org 日前被人入侵了，而且被植入了惡意軟體。據 ISC 稱，禍首是該站使用的 WordPress 的漏洞所造成的，至於 ftp.isc.org, kb.isc.org 則都不受影響。

======

ISC.org 的公告原文如下：

The ISC.org web site is down for maintenance.

We believe the web site may have become infected with malware. Please scan any machine that has accessed this site recently for malware.

This is a WordPress issue, ftp.isc.org, kb.isc.org and our other network resources are unaffected. We have not had any reports of any client machines that have been infected from our website. If you believe you have caught a virus from our web site, please let us know, by email to security-officer@isc.org.

In the meantime, all the things you come to our www site for are still accessible to you.

This is a great time to take a look at the Internet Archive, who is making an on-going record of the Internet, including our web site.

https://web.archive.org/web/20141007025209/https://www.isc.org/

HOW TO GET SOFTWARE

Until this site is restored, you can download your ISC software from our ftp site.

The current versions of BIND are found here: ftp://ftp.isc.org/isc/bind9/cur/

ISC DHCP 4.3.1 is here: ftp://ftp.isc.org/isc/dhcp/4.3.1/

Or, type ftp.isc.org into your browser and you will see an html page. Select the “isc” folder and double click to open it.

Within the “isc” folder you will see folders for “bind9” and “dhcp” and other software we host on www.isc.org.

Instructions on how to check your download files, to ensure their integrity, are here:

https://kb.isc.org/article/AA-01225/46/Verifying-the-Integrity-of-ISC-Downloads-using-PGP-GPG.html

Our pgp key is available on public key servers, such as MIT’s, https://pgp.mit.edu

TECHNICAL REFERENCES

Much of the information posted on the www.isc.org web site is actually stored in a Knowledgebase, which is available via direct http at https://kb.isc.org/

BIND security vulnerability information is easily accessed at: https://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Matrix.html

How-to articles and FAQs on BIND are at https://kb.isc.org/category/77/0/10/Software-Products/BIND9/

MAILING LIST ACCESS

To view all ISC mailing lists, read archives and subscribe: https://lists.isc.org/mailman/listinfo

Bind issues: email to bind-users@lists.isc.org

DHCP issues: email to dhcp-users@lists.isc.org

HOW TO REACH ISC

Security issues: email to security-officer@isc.org

Information, sales, general inquiries: email to info@isc.org

Web site issues: webmaster@isc.org

To report a bug in our software, mail to:

Bind-bugs@isc.org

Dhcp-bugs@isc.org

Main telephone number: 650-423-1350

======

詳情請見：http://isc.org/

本月 14 日，多部 phpBB.com 的主機被人入侵。經過清查，官網確認被入侵的原因是肇始於開發團隊其中一員的登入帳號遭到破解，而不是因為 phpBB 的程式碼的漏洞。官網宣稱，phpBB 的下載套件並未被篡改。

目前 phpBB.com 官網已暫停服務，仍在進行清查之中。

原文如下：

Update #3 17-12-2014 – 01:10

At this time we are proceeding with recovery efforts and have some additional important information.

We have confirmed that initial entry was made via a team member’s compromised login details and not as the result of a vulnerability in the phpBB software. The phpBB download packages were never altered.

The attackers were able to obtain access to the phpBB.com and area51 databases, meaning that user information, including hashed salted passwords, was compromised. Additionally, all logins on area51 between Dec. 12th and Dec. 15th were logged in plaintext. While the hashing algorithm utilized in phpBB will make it difficult to obtain those passwords, you should not take any chances. If you were using your phpBB.com or area51 passwords anywhere else, you must change them.

We will provide full details, including the steps we have taken since the compromise, once we are back in operation.