呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組標題:駭客以無檔案惡意程式遙控俄銀行ATM吐鈔,損失80萬美元 摘要: 研究人員分析發現,駭客攻擊手法分成二階段。第一階段是尋找有漏洞沒修補的ATM網路管理伺服器,並以Windows 工具及Meterpreter、PowerShell script等攻擊工具,在伺服器記憶體中植入惡意程式,並和外部C &C伺服器建立連結,且暗中蒐集管理員密碼。由於它並不存在硬碟中,因而不會被防毒軟體偵測到,同時會隨著系統重開機而消失。 在接下來的第二階段中,駭客透過RDP與ATM建立連結,並在ATM中植入ATMitch。ATMitch會找尋讀取駭客存在ATM硬碟中的command.txt檔案。這些檔案內含單一字母組成的指令,如O代表開啟提款機(Open dispenser)、D代表發鈔(Dispense)。 隨後駭客在遠端等同夥出現在ATM前,即下達指令要求任何一台提款機吐出他想要的鈔票張數。做案後駭客即遠端刪除ATM的惡意程式,使所有犯罪蹤跡消失不見。 接獲受害銀行委託調查的卡巴斯基研究人員指出,該團體的無檔案攻擊手法十分高明,以致於銀行鑑識專家及研究唯一找得到證據只剩下ATM硬碟裏包含二個惡意程式log的檔案,當中留有Take the Money Bitch!及Dispense Success的字串。不過研究人員就從以逐步追查出惡意程式及整個犯罪手法。 原始資料: http://usa.kaspersky.com/about-us/press-center/press-releases/2017/Double-Attack-What-Are-Fileless-Banking-Attackers-Really-After 相關報導: Hackers stole $800,000 from ATMs using Fileless Malware http://thehackernews.com/2017/04/atm-fileless-malware.html Hackers Stole $800,000 From Russian ATMs With Disappearing Malware https://motherboard.vice.com/en_us/article/atm-hack-russia-disappearing-malware 引用來源: http://www.ithome.com.tw/news/113270at Wed, Apr 5, 2017 7:21 PM