一銀ATM被植入後門程式的感染途徑(推論)

本人在一銀ATM被盜領的事件爆發後,第一時間即已撰文推斷原因,詳見:

「第一銀行ATM遭駭 34台吐出7000萬」,這家公司的 ATM 用什麼作業系統?

至於後門程式的感染途徑,在下要說:除非有內鬼,否則這應該是一種APT攻擊的結果。

什麼是 APT 攻擊?

APT 是指:進階持續性滲透攻擊(Advanced Persistent ThreatAPT),簡單來說,駭客會鎖定攻擊目標,然後蒐集情報,以各種工具進行滲透,接著感染目標組織的主機(包含USB碟,應用程式等)或伺服器,然後植入後門程式,後門程式會等待攻擊指令的發動,一旦時機成熟(例如感染的機器數量夠多了),駭客便發起攻擊,目標就得手了。

以這次一銀案為例,其入侵途徑可能為:

惡意程式網站或郵件附檔–>感染金融單位員工或資訊人員的電腦–>感染USB碟或作業更新程式–>員工用USB碟插入ATM主機或使用數據機或傳輸軟體,上傳更新作業程式或要在ATM上播放的廣告影音檔–>感染ATM。

可能有人會問:ATM 主機有 USB 埠嗎?答案是有的,請看下圖:

Screenshot_2016-07-12-23-44-30

昨天有警官聲稱如下入侵方法,根本是外行人亂講混話。。。

熟悉網路科技犯罪的官警說,歹徒在ATM輸入一組數字後,電腦切換至「控制模式」,再操作軟體更新,更新過程螢幕會秀出「帳號及密碼」,歹徒取得帳密後輸入獲得控制權,可自由操作ATM,就像打電玩遊戲的隱藏版「密技」,玩家輸入一組指令變身「無敵狀態」,享有升級功力或無限道具。

另一則新聞可證實本人的推斷:

(自由時報)第一銀行發生ATM遭駭自動吐鈔盜領八千萬案,檢調人員發現有卅八台ATM被植入「cngdisp.exe」及「cngdisp_new.exe」等兩款新種惡意程式,研判駭客集團利用ATM系統更新時植入,再由車手於特定時點,透過手機、平板等載具喚醒程式,ATM即會瘋狂吐鈔。

本案只有兩種可能:

  1. 內鬼利用維護更新程式時,植入後門。
  2. APT 攻擊,如上所述。

至於破案難度,如果是內鬼所為,那麼破案不難;但若是遭受APT攻擊,一銀恐怕只能自認倒楣了(主謀追查不易)。

那麼被盜領的七千萬元呢?

本案分工精細,二名已出境的蘇聯男子只是車手,錢應該還在國內,由專人進行洗錢,如果能沿路調出監視器的錄影畫面,追查錢的大致流向方位,以錢追人,或許可以揪出內鬼或幫兇,但主謀從頭至尾應該都在國外,其身份一定隱藏得很好,以目前台灣和各國並沒有司法互助的情況下,要追捕主犯難度很高。

最後一點,對「cngdisp.exe」及「cngdisp_new.exe」做逆向工程分析,或許可找出一些蛛絲馬跡,理由是:寫程式的人多少都有固定的習慣(叫用相同的asm副程式),分析調用程式碼的手法、技術模式,也可判斷寫程式的駭客集團。

題外話:有些人對逆向工程嗤之以鼻,以為這只是玩破解者的小技倆(哈!我小時候就玩過了,不就是改幾個 nop 90 90 一下嗎?),其實,對資安而言這是非常重要的技術,逆向工程分析能力越強,越能提升資安防護強度,也能對攻擊者進行反擊,最重要的是可建立各種攻擊程式的技術模式資料庫,分析並提取其技術精華為我等所用(比如:培養 BOB、分析駭客集團…)。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

請輸入驗證碼 * Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.