新款ATM恶意软件Alice 可对抗动态分析 但目前需要物理接触主机

趋势科技(Trend Micro)安全公司的研究人员警告称,新发现的恶意软件家族主要针对ATM机(自动取款机),唯一目的就是要掏空ATM机保险箱里的现金。

alice软件是什么

这款恶意软件被称为“Alice”,是迄今最大的ATM威胁。Alice没有窃取信息的功能,甚至无法通过ATM机的数字键操控。Alice最早发现于2016年11月,但被认为自2014年起就已存在。趋势科技表示,虽然这类威胁已存在九年多时间,Alice只是至今见到的第8个ATM恶意软件家族。

使用恶意软件要求物理连接到ATM机。趋势科技表示,恶意软件被设计成钱骡,以窃取受攻击ATM机内的所有现金。去年,恶意软件GreenDispenser就是这样做的。

然而,与GreenDispenser不同,这种新威胁并没有连接ATM机的密码键盘,可通过远程桌面协议(RDP)来使用,但趋势科技表示,目前并没有证据表明此类使用方法。

新款ATM恶意软件Alice 会侦测当前运行环境是否ATM机

恶意软件分析显示,Alice(二进制版本信息中包含此名称)中有一个名为“VMProtect”的商业化、现成的软件包/混淆器,可防止调试器内部的执行。此外,该恶意软件可在执行前进行环境检查,如果发现不是运行在ATM机上,则会自行终止(它会检查多个注册表键,并需要在系统上安装特定的DLL)。

在机器上运行时,Alice在根目录下对两个文件进行写操作:名为xfs_supp.sys、大小为5 MB+的空文件和名为TRCERR.LOG的错误日志文件。接着,它连接到XFS环境中的分配器(currencydispenser1),如果PIN码正确,它将显示各个钞箱的信息,并取走机器里的现金。

由于恶意软件只连接currencydispenser1,但并未尝试使用机器的密码键盘,研究人员认为,攻击者只是通过物理方式打开ATM机并通过USB或光盘进行感染。并且,研究人员还表示,攻击者将键盘与ATM机的主板进行连接,并通过这种连接来操控恶意软件。

安全研究人员发现,Alice支持以下三个通过具体PIN码发布的命令:用于丢弃卸载文件的命令、用于退出程序并运行卸载/清除程序的命令,以及用于打开“操作面板”的命令。操作面板中可显示ATM机中的现金信息。

PIN CodeDescription of Command
1010100Decrypts and drops file sd.bat in current directory. This batch file is used to cleanup/uninstall Alice.
0Exits the program and runs sd.bat . Also deletes xfs_supp.sys .
specific 4-digit PIN based on ATM’s terminal IDOpens the “operator panel”.

operator%20panel.png

就在这个界面上 攻击者就可以控制ATM机吐钞票了

攻击者只需输入钞箱ID,ATM机就会为其分配现金。分配命令通过WFSExecute API发送至CurrencyDispenser1。通常,ATM机都有每次40张钞票的分配限制,攻击者执行重复操作就可以清空钞箱中存放的所有现金。屏幕上会动态显示剩余现金的信息。这样,攻击者就知道钞箱何时已被清空。

趋势科技认为,攻击者手动更换了已感染Alice恶意软件的目标机上的Windows任务管理器,因为恶意软件通常是在受感染的系统上以taskmgr.exe的形式被发现的。Alice并没有持续的方法,但将它作为任务管理器运行意味着每次发出调用任务管理器的命令时都会调用Alice。

“在现金分配前需要输入PIN码,这表明Alice恶意软件只用于个案攻击。Alice恶意软件没有精心的安装或卸载机制—它的工作原理仅是在适当的环境中运行可执行文件。”研究人员如是说。

PIN认证系统类似于其他ATM恶意软件家族所用的系统,但前者还提供恶意软件作者,能够控制访问Alice的人。通过改变样本之间的访问代码,恶意软件作者可防止钱骡共享代码,或者可跟踪个人钱骡,或两者都可以。

所分析样本中使用的是四位密码,但其他样本中可能会使用更长的PIN码。PIN码不能被暴力破解,因为Alice在自行终止和显示错误信息前接受输入限制。研究人员还认为,Alice可运行在配置使用微软扩展金融服务中间件(XFS)的任何厂商硬件上。

趋势科技表示,

“现在,ATM恶意软件属于恶意软件中的利基类,被数个犯罪团伙用于高针对性的攻击中。我们现在正处于ATM恶意软件日渐成为主流的时期。”

钱骡是什么

钱骡(Money mule)指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地。Money mule这个说法是在drug mule(药骡)的基础上衍生出来的。

小编:这不就是网络洗钱的人嘛



原文发布时间:2017年3月24日 

本文由:securityWeek 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/new-atm-malware-alice

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/288158.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

(下)python3 selenium3 从框架实现代码学习selenium让你事半功倍

上一篇博文简要 在上一篇博文中已得知:使用 execute 向远程服务器发送请求会通过 webdriver 与浏览器交互,且发送已定义的命令常量可获得一些相关信息。 其中 execute 方法实现已经在上一篇博文中有实现说明。并且在我们已经知道 webdriver基类&#x…

【空间数据库技术】ArcSDE 10.1安装配置与企业级地理空间数据库的建立及连接

1、工具: (1)ArcGIS Desktop 10.1 (2)SQL Server 2008 R2 (3)ArcSDE 10.1 2、安装过程 (1)ArcGIS Desktop 10.1的安装 请参照:ArcGIS 10.2 Desktop完全破解图文安装教程 (2)SQL Server 2008 R2的安装 请参照:SQL Server 2008 R2 Developer Edition图文安装教…

点对点 客户端-服务器 聊天程序

服务器&#xff0c;客户端都是父进程、子进程分别负责发送、接收字符串。 另外使用了信号函数来发送和接收处理信号&#xff0c;比如当子进程结束时&#xff0c;传递一个信号给父进程&#xff0c;然后父进程会执行信号处理函数。 服务器端&#xff1a; 1 #include<stdio.h&g…

C# 使用压缩流和 Brotli

如前所述&#xff0c;流的一个特性是可以将它们链接起来。为了压缩流&#xff0c;只需要创建 DeflateStream&#xff0c;并给构造函数传递另一个流(在这个例子中&#xff0c;是写入文件的outputStream)&#xff0c;使用 CompressionMode. Compress 表示压缩。使用 Write方法或其…

高考610考哪个计算机学校,2019年高考成绩610分_615分左右能报考上什么学校 文科理科大学名单推荐...

一眨眼&#xff0c;高考已经结束一段时间了&#xff1b;早晨猛地一睁眼&#xff0c;还在抱怨妈妈怎么不叫你起床&#xff0c;才突然发现今天你已经不用去学校了,这场全国性的考试高考已经结束了&#xff1b;高考这个城门攻破之后&#xff0c;还有大把壁垒再等你去攻克&#xff…

Power的力量

ZD至顶网服务器频道 08月26日 新闻消息&#xff08;文/董培欣&#xff09;&#xff1a;谈到企业级服务器市场&#xff0c;人们首先想到的会是x86 E5、E7系列的CPU产品&#xff0c;IBM在企业级市场推出的Power Systems服务器产品很少会被用户了解。可是在今年春天举行的OpenPOWE…

C#语法糖系列 —— 第三篇:聊聊闭包的底层玩法

有朋友好奇为什么将 闭包 归于语法糖&#xff0c;这里简单声明下&#xff0c;C# 中的所有闭包最终都会归结于 类 和 方法&#xff0c;为什么这么说&#xff0c;因为 C# 的基因就已经决定了&#xff0c;如果大家了解 CLR 的话应该知道&#xff0c; C#中的类最终都会用 MethodTab…

空间数据库Spatial Tools的使用

工具下载:http://www.sharpgis.net/page/SQL-Server-2008-Spatial-Tools 该工具为绿色版,点击即可使用。 1、导入Shapefile数据 双击“Shape2Sql.exe”,打开界面如下: 2、查询空间数据 双击打开“SqlSpatial.exe”

自定义View 进度条

1.在values下面新建一个attrs.xml&#xff0c;现在里面定义我们的自定义属性&#xff0c; <?xml version"1.0" encoding"utf-8"?> <resources><declare-styleable name"RoundProgressBar"><attr name"roundColor&qu…

python图形绘制库turtle中文开发文档及示例大全【最详细、连结果图都有,gif格式的!】

前言 本文参考&#xff1a;Python库官方文档 本文例子摘抄自Python库官方文档&#xff0c;为了方便讲解&#xff0c;个人进行了修改&#xff0c;并且相关函数说明不完全参照文档&#xff0c;在结果处贴出了执行结果&#xff0c;不方便用jpg等图片作为展示的用了gif格式图片进行…

oracle 事务_从Oracle到PG-PostgreSQL的MVCC机制简介

作者&#xff1a;甘植恳-AkenPostgreSQL和Oracle、MySQL等RDBMS一样&#xff0c;都有自己的并发控制机制。而并发控制的目的是为了在多个事务同时运行时保持事务ACID属性。MVCC即Multi-version concurrence control首字母缩写&#xff0c;MVCC会为每个数据更改操作创建数据块或…

【Microstation】不能从对话框中装载/创建类型为 ‘HTML‘,id =41510001 的对话框条目,该对话框为: “文本编辑器 - 字处理器“,GCSDIALOG 已装载。

在Win7上安装MicroStation V8i简体中文版,在添加文字图层的时候,点击出现提示“不能从对话框中装载/创建类型为 HTML,id =41510001 的对话框条目,该对话框为: "文本编辑器 - 字处理器",GCSDIALOG 已装载。”,问题出在Win7对该软件的兼容性上。 MS软件提供了三种…

fastdfs 一个group内实现按照不同的项目,指定路径存储.

为什么80%的码农都做不了架构师&#xff1f;>>> 环境介绍: 1: 公司目前有5个项目 A B C D E 日后可能会有所增加. 2: 使用fastdfs存储这5各项目的文件,要求各各项目的文件分开存储,也就是每个项目的文件存储到一个固定的位置. 3: 三台机器ip地址分配如下 tracker…

一个WPF开发的打印对话框-PrintDialogX

今天五月一号&#xff0c;大家玩的开心哦。1. 介绍今天介绍一个WPF开发的打印对话框开源项目-PrintDialogX[1]&#xff0c;该开源项目由《WPF开源项目&#xff1a;AIStudio.Wpf.AClient》[2]作者推荐。欢迎使用 PrintDialogX, 这是一个开源项目。免费用于商业用途。用于 C# 的自…

这一新的可视化方法教你优雅地探索相关性

一个古老的诅咒一直萦绕着数据分析&#xff1a;我们用来改进模型的变量越多&#xff0c;那么我们需要的数据就会出现指数级的增长。不过&#xff0c;我们通过关注重要的变量就可以避免欠拟合以及降低收集大量数据的需求。减少输入变量的一种方法是鉴别其对输出变量的影响。变量…

【新手宝典】一篇博文带萌新建站并了解建站体系流程和对萌新友好的便捷方式,这篇博文很有可能是你的启蒙文

前言 本片博文主要面向于还没接触过web开发的萌新&#xff0c;以及想知道整体流程并且完成建站的萌新&#xff1b;如果你是个大佬&#xff0c;就没必要看下去了。 本篇博文没有难啃的骨头&#xff0c;请各位萌新放心食用。 本篇博文采用通俗易懂的方式讲解&#xff0c;轻松并…

MicroStation V8i简体中文版中文字体乱码解决办法

Bentley (奔特力)是一家软件研发公司,其核心业务是满足负责建造和管理全球基础设施,包括公路、桥梁、机场、摩天大楼、工业厂房和电厂以及公用事业网络等领域专业人士的需求。Bentley 在基础设施资产的整个生命周期内针对不同的职业,包括工程师、建筑师、规划师、承包商、…

惠普ProDesk行业专用台式机U盘不识别解决办法

惠普ProDesk行业专用台式机在使用的过程当中&#xff0c;老出现插入U盘不识别的问题&#xff0c;总是需要在重启的过程中插入U盘才能使用U盘&#xff0c;解决办法是&#xff1a;&#xff08;1&#xff09;打开设备管理器&#xff0c;如下图所示&#xff1a;&#xff08;2&#…

【一】Windows API 零门槛编程指南——MessageBox 基本使用及基础讲解

本篇作为Windows API 系列文章的第一篇&#xff0c;将简要的讲解一下什么是Windows API&#xff0c;Windows API能做些什么&#xff0c;并且尽可能讲解一些新出现的专有名词&#xff1b;本系列博文几乎没有难啃的“专业术语”&#xff0c;尽量让读者能够看明白文章所述内容&…

中国人工智能学会通讯——基于视频的行为识别技术 1.1 什么是行为

今天跟大家分享的主题是基于视频的 行为识别领域研究&#xff0c;主要介绍一下早期 的非深度学习传统方法和近期深度学习 方法取得的结果。深度学习方法带来了 非常大的变革&#xff0c;提升了识别系统的性能&#xff0c; 但这并不意味着我们把传统的东西都要 抛弃&#xff0c;…