關於洗劫ATM機，Symantec《2017金融行業安全威脅白皮書》如是說（下）

前情提要

針對ATM、POS和移動端的攻擊

2016年，針對ATM機和POS終端的攻擊持續增加。針對惡意軟體的攻擊已經存在了十幾年，目前仍然有效。隨著針對銀行的攻擊數量的增加，我們也看到了從金融網路延伸到ATM的攻擊也有所增加。有許多比較活躍的針對ATM機和POS終端的惡意軟體家族，如Ploutus (Backdoor.Ploutus)、Flokibot, 、 Trojan.Skimer 、 FastPOS (Infostealer.Fastpos), 、 Infostealer. Poslit 、Infostealer.Donpos 、 Infostealer.Jackpos 、 Infostealer. Scanpos 和 Backdoor.Pralice 。

由於晶元和PIN的使用範圍已經從歐洲蔓延到全球，以前的經典的memory scraping惡意軟體的威脅事件越來越少了（memory scraping是指一類通過檢查內存搜索敏感數據的惡意軟體）。

與ATM機有關的攻擊涉及不同層次的複雜度。有些攻擊者利用偷盜來的鑰匙或強行撬開的方式打開鎖，獲得物理訪問ATM的機會後，攻擊者會通過USB介面或CD-ROM安裝一個惡意軟體，並附帶一個鍵盤發送惡意指令（Ploutus惡意軟體就使用這種方式進行攻擊）。

另外還有一種針對ATM機的攻擊方式，2017年4月份有一起相關的報道，一些攻擊者發現他們可以通過ATM外殼的一個洞訪問到其內部匯流排系統，一旦獲得匯流排系統的訪問許可權，附加一個可以發送命令的廉價的微型計算機，就可以使ATM機吞吐出現金。

針對ATM機和POS終端的攻擊也可以不需要物理訪問。2016年11月，FBI發出告警稱Buhtrap入侵到金融機構的內部網路，並通過向ATM機發送命令達到盜取金錢的目的。台北警方估計，這起網路攻擊可能損失約3億美元。在另一個案例中，攻擊者能夠在多個自動取款機中安裝ATMitch惡意軟體，損失現金至少800，000美元。

對於POS終端而言，上述遠程攻擊方式同樣適用。例如 Trojan.Flokibot 在電腦端處理POS機的支付卡交易數據。攻擊者使用魚叉式網路釣魚電子郵件入侵受害者的電腦，然後使用TeamViewer 和 Ammyy Admin 軟體遠程控制受感染的計算機，並執行進一步的攻擊活動。

2016年8月，一些POS終端軟體供應商的網站被攻破。據報道，攻擊者利用盜取的信息可以對各個零售商使用的POS系統進行遠程控制。這一發現促使了供應商宣布受影響的系統需要重置密碼以保護賬號安全。

由於手機銀行APP通常會使用雙因素認證（2FA），網路犯罪份子不得不使用社會工程學或攻擊移動平台的方式繞過2FA的限制。在過去的幾年中，Android 手機上的金融惡意軟體已經變得越來越普遍了，不過與windows平台相比，移動端金融惡意軟體的感染數量和種類還是比較少的。

2016年，檢測到的移動端惡意軟體的數量約為720萬，增長了29%左右。一半以上的移動端惡意軟體中與惡意下載相關，如Android.MalDownloader。除了背後發送惡意收費簡訊和勒索軟體外，金融惡意軟體是移動端面臨的第三個最常見的威脅類別。除了一些需要特殊許可權的漏洞利用外（允許惡意軟體從瀏覽器或其它應用程序中竊取緩存的密碼信息），大多數移動端惡意軟體不需要root許可權。這個有一個常見的策略，那就是反覆的彈出類似」設備管理激活」提示的對話框，直到用戶嚮應用程序授予管理員許可權位置。

2016年1月份和2月份之間，超過20%的移動惡意軟體包的使用率增加了一倍以上，增長的幅度有點失控。

惡意軟體的感染通常包括了社會工程學的手段，發送帶有惡意鏈接的釣魚網站把用戶導向一個偽裝成合法APP的惡意應用軟體。惡意軟體另一個分發途徑是被入侵的網站，比如偽裝成一個視頻播放器軟體，誘使用戶下載安裝以便觀看視頻內容。用戶經常會忽略安全警告而自願安裝惡意應用程序。對用戶而言，在安裝的過程中仔細閱讀應用程序所請求的許可權仍然是最有效的保護方式之一，不過現在已經有一些應用程序開始採取延遲請求許可權的策略，以便後續實施更多的社會工程學攻擊。

惡意應用不僅是第三方應用程序商店上發現的問題，在Google Play Store上也檢測到很多受感染的應用程序，這種趨勢仍將繼續。例如2017年2月，Google Play Store上有一款名為「Good Weathe」 （好天氣）的應用，是Android.Fakebank.B的變種偽裝而成的，這款應用大約有5000個用戶下載。

Android操作系統不斷在變化，與此同時，攻擊者也不斷的調整攻擊方法和戰術。移動端金融惡意攻擊主要的方法包括簡訊和電話轉發、虛假表單覆蓋、信息竊取，以及偽造銀行APP等。

虛假表單覆蓋仍然是一個常見的策略，雖然Android6.0版本為惡意軟體製作者使用這一方法增加了難度。類似於PC端的威脅，移動端的威脅可以從APP對應的遠程C&C伺服器或用戶訪問過的網站上動態地下載覆蓋表單，這個虛假的覆蓋表單可以竊取用戶的登錄憑據或者要求用戶提供額外的信息（如信用卡的詳細信息等）。

移動金融惡意軟體的活動針對非金融類的應用程序，如社交媒體應用程序或聊天應用程序。例如，我們觀察到一些Android. Fakebank.B的變種（又被稱為Marcher）的攻擊目標超過了125個不同的機構。有些時候，攻擊者會假裝成銀行發送一些要求用戶驗證欺詐交易的文本信息，這會創造一種緊迫感，促使用戶儘快的登錄到金融類的應用程序上。

Android.Fakebank.B 使用到的另一個策略是把自己添加到電池優化的例外白名單列表裡，所以當手機進入省電模式，木馬就可以繞過Android 6.0 種新特性的限制，允許木馬程序與其C&C伺服器保持連接。三月份Android.Fakebank.B家族的木馬利用了呼叫限制功能，惡意軟體可以阻止任何在預定義的客戶服務號碼列表中的電話呼叫，這一功能使得用戶更佳難以核實或取消與金融機構相關的可疑交易。這一功能與windows平台上的Shylock惡意軟體的手法相似，在受感染的計算機上當用戶訪問銀行網站時，Shylock惡意軟體會修改銀行客戶支持的電話號碼。

有時攻擊者使用簡單的伎倆來實現它們的目的。2016年初，Android.Bankosy添加了一個簡單的技巧用以攔截2FA令牌的語音（銀行發給用戶的一個合成的語音，內容是2FA的驗證信息）。木馬增加了一個呼叫轉移功能，使用了特殊的服務代碼*21*[DESTINATION NUMBER]#，這段代碼被許多電話運營商支持），一旦被激活，從銀行發來的信息會轉到攻擊者控制的VOIP號碼上，攻擊者通過2FA驗證後繼續執行欺詐交易。

「 crimeware-as-a-service」的模式也適用於移動惡意軟體。比如，2016年有一個名為Exo Android Bot 的木馬在論壇上大量發放廣告，作者承諾其製作的惡意軟體可以攔截簡訊、虛假表單覆蓋功能，24/7提供技支持，服務價格為每周400美元或每年3000美元。威脅的焦點當然是金融類的應用程序。

瓦解和下架

過去一年的時間裡，世界各地的研究人員和執法機構之間架起合作，嚴重打擊了金融惡意軟體的發展，這其中包括幾個告知名度金融木馬的下架。這些努力不僅消減了惡意軟體的活動，同時也是對參與這類犯罪活動的網路犯罪份子的一種警告。

2016年初，突破金融欺詐木馬 Dyre 的故事比較有名。2016年二月份的報道稱，金融木馬的活動量大幅下降與俄羅斯在2015年11月份展開的執法活動有關。Dyre在2016年檢測數量下降了92%。

Dyre在2015年發展成為了最活躍的金融欺詐工具之一，Dyre的垃圾郵件活動保護了一個惡意附件，用戶打開後會安裝一個名為Upatre的下載器（Downloader.Upatre）。2015年7月份，Upatre檢測率達到了高峰（超過了25萬）。2015年11月之後，監測到 Upatre 和 Dyre 的數量急劇下降。

Dyre下架具體情況還不清楚，沒有明確的證據證明誰被逮捕或者逮捕了多少人。2016年年底有報道稱新的銀行木馬Trickbot是基於Dyre重寫的。

Avalanche 雪崩，是一個在線惡意軟體分發和管理平台，主要託管各類殭屍網路、銀行木馬和勒索軟體。

清除Avalanche的行動對其背後的網路犯罪社區是一個嚴重的打擊，扣押了多個惡意軟體家族使用的基礎設施。Avalanche清除行動是多個國際執法機構、檢察官、安全和IT組織（賽門鐵克在內）共同努力的結果。收繳了犯罪組織使用的39台伺服器和數十萬個域名。

賽門鐵克針對Avalanche網路的研究起始於2012年，當時主要集中在針對德國、奧地利和瑞士地區的勒索軟體相關的研究上。當時德國警方正在對 Bebloh 惡意軟體進行調查，賽門鐵克研究人員在調查過程中向警方提供技術援助，雙方聯合努力最終導致了雪崩殭屍網路浮出水面。

Avalanche是一個龐大的惡意軟體控制管理平台，託管了至少17種不同惡意軟體家族，負責控制大量世界各地受感染的計算機。調查活動在2016年11月30號收尾，直接撤除了平台的基礎設施，逮捕了多名涉案人員。

除了下架的舉措外，2016年相關機構對犯罪份子實施了各種抓捕。俄羅斯安全部隊在2016年6月對Lurk 黑客組織（主要針對俄羅斯金融機構，涉案金額超過了2500萬美元）進行了嚴厲的打擊，在莫斯科逮捕了50名木馬製作者嫌疑人；2017年1月，疑是Trojan.Snifula的製作者在西班牙被逮捕，導致 Snifula 的活動幾乎完全消失了。

這些逮捕行動帶來了多個惡意軟體家族活動的驟減，這其中包括了 Locky (Ransom.Locky) 、Dridex 和 Angler 漏洞利用工具包。不過 Locky 和 Dridex在2016年下半年重新活躍了起來，但是 Angler 卻依然沒有動靜。據此推斷， Lurk banking Trojan (Trojan.Filurkes) 和 Angler 漏洞利用工具包的背後可能是相同的人，Lurk 組織的成員被逮捕了，Angler 的蹤跡也消失了。

結 論

雖然金融惡意軟體在2016年的檢測量下降了36%，但這與多起國際性的清除和逮捕行動有關，金融威脅依然很活躍。2016年的三大惡意軟體家族是Ramnit (aka Gootkit) 、 Bebloh 和 Zbot (aka Zeus)，它們佔整體金融威脅相關活動的86%。令人驚訝的是，少數樣本擁有驚人的流行度，比如一個 Bebloh 樣本在2016年1月份的檢測量佔全球所有檢測量的47%。這一結果與數以百萬計的垃圾郵件有關。金融木馬的感染向量與其他常見的惡意軟體（比如勒索軟體）一樣，許多犯罪組織共享相同的垃圾郵件殭屍網路或漏洞利用工具包的情況已經屢見不鮮。

日本在2016年遭受的金融惡意軟體攻擊佔全部攻擊的37%，這表明攻擊者能夠很快的適應新的市場，一旦之前的目標變大保護：保護的很好或是不在輕易受騙，攻擊者就會調整目標。

沙盒逃逸和反調試技術在2016年基本上沒有變化，然而，使用重定向攻擊的活動有所增加，受害人被重定向一個遠程站點，然後實行內聯的攻擊，這會給終端防護帶來更多困難。

另一個明顯的趨勢是針對企業和金融機構本身的攻擊有所增加。平均而言。被檢測到的所有金融威脅中，38%發生在企業。一旦攻擊者識別到目標已被感染，他們會遠程登錄到受害主機，慢慢的學習交易規則，當機會來臨時，會試圖在每月的發票付款訂單中注入一些虛假的交易，或者嘗試提交一些跨行轉賬的申請。即使這類攻擊很難執行且需要更長的準備時間，但是它們能夠帶來更高的利潤。隨著 Lazarus 集團與一些高調的銀行攻擊有了關聯，寓意著一個可能由國家支持的網路經濟犯罪行動首次浮出水面。

Android平台上的威脅主要集中在表單重疊攻擊或偽造銀行APP方面，我們已經觀察到超過170款惡意的移動應用。移動端的威脅還與金融機構通過手機APP部署的雙因素認證有關。由於最新版本的Android操作系統對這類攻擊作了很好的防護，我們看到攻擊者重新回歸社會工程學的手段，試圖誘騙受害人授權執行欺詐交易。歸根結底，在一個線上交易流程中，用戶依然是最薄弱的環節，這就意味著，即使是擁有最強大的技術，依然可能遭受到社會工程學攻擊的破壞。

我們預計，未來對用戶而言，金融惡意軟體依然是一個問題，攻擊者可能會更關注企業的財務部門並使用社會工程學進行攻擊。

防護措施

採用多層防護的方案最大限度的減少受感染的機會。賽門鐵克又一個針對惡意軟體，包括金融木馬的防護戰略，分為三個階段：

01 預防：阻止入侵或感染，防止危害的發生

02 遏制：一旦被感染，儘可能的限制攻擊的傳播

03 響應：事件響應流程，學習經驗，提高防護能力

預防感染的效果是最好的，所以對如何預防感染多做投入是值得是。電子郵件和受感染的網站是惡意軟體最常用的感染載體，對這兩種感染載體採取強而有力的防禦措施將有助於減少受感染的風險。

人物

白帽

新銳

新銳丨大咖丨視頻丨白帽丨深度

長按識別二維碼 關注更多精彩