前情提要
老规矩,你懂得!
针对ATM、POS和移动端的攻击
ATM 和 POS
2016年,针对ATM机和POS终端的攻击持续增加。针对恶意软件的攻击已经存在了十几年,目前仍然有效。随着针对银行的攻击数量的增加,我们也看到了从金融网络延伸到ATM的攻击也有所增加。有许多比较活跃的针对ATM机和POS终端的恶意软件家族,如Ploutus (Backdoor.Ploutus)、Flokibot, 、 Trojan.Skimer 、 FastPOS (Infostealer.Fastpos), 、 Infostealer. Poslit 、Infostealer.Donpos 、 Infostealer.Jackpos 、 Infostealer. Scanpos 和 Backdoor.Pralice 。
由于芯片和PIN的使用范围已经从欧洲蔓延到全球,以前的经典的memory scraping恶意软件的威胁事件越来越少了(memory scraping是指一类通过检查内存搜索敏感数据的恶意软件)。
与ATM机有关的攻击涉及不同层次的复杂度。有些攻击者利用偷盗来的钥匙或强行撬开的方式打开锁,获得物理访问ATM的机会后,攻击者会通过USB接口或CD-ROM安装一个恶意软件,并附带一个键盘发送恶意指令(Ploutus恶意软件就使用这种方式进行攻击)。
另外还有一种针对ATM机的攻击方式,2017年4月份有一起相关的报道,一些攻击者发现他们可以通过ATM外壳的一个洞访问到其内部总线系统,一旦获得总线系统的访问权限,附加一个可以发送命令的廉价的微型计算机,就可以使ATM机吞吐出现金。
针对ATM机和POS终端的攻击也可以不需要物理访问。2016年11月,FBI发出告警称Buhtrap入侵到金融机构的内部网络,并通过向ATM机发送命令达到盗取金钱的目的。台北警方估计,这起网络攻击可能损失约3亿美元。在另一个案例中,攻击者能够在多个自动取款机中安装ATMitch恶意软件,损失现金至少800,000美元。
对于POS终端而言,上述远程攻击方式同样适用。例如 Trojan.Flokibot 在电脑端处理POS机的支付卡交易数据。攻击者使用鱼叉式网络钓鱼电子邮件入侵受害者的电脑,然后使用TeamViewer 和 Ammyy Admin 软件远程控制受感染的计算机,并执行进一步的攻击活动。
2016年8月,一些POS终端软件供应商的网站被攻破。据报道,攻击者利用盗取的信息可以对各个零售商使用的POS系统进行远程控制。这一发现促使了供应商宣布受影响的系统需要重置密码以保护账号安全。
Android平台的金融威胁
由于手机银行APP通常会使用双因素认证(2FA),网络犯罪份子不得不使用社会工程学或攻击移动平台的方式绕过2FA的限制。在过去的几年中,Android 手机上的金融恶意软件已经变得越来越普遍了,不过与windows平台相比,移动端金融恶意软件的感染数量和种类还是比较少的。
2016年,检测到的移动端恶意软件的数量约为720万,增长了29%左右。一半以上的移动端恶意软件中与恶意下载相关,如Android.MalDownloader。除了背后发送恶意收费短信和勒索软件外,金融恶意软件是移动端面临的第三个最常见的威胁类别。除了一些需要特殊权限的漏洞利用外(允许恶意软件从浏览器或其它应用程序中窃取缓存的密码信息),大多数移动端恶意软件不需要root权限。这个有一个常见的策略,那就是反复的弹出类似”设备管理激活”提示的对话框,直到用户向应用程序授予管理员权限位置。
2016年1月份和2月份之间,超过20%的移动恶意软件包的使用率增加了一倍以上,增长的幅度有点失控。
恶意软件的感染通常包括了社会工程学的手段,发送带有恶意链接的钓鱼网站把用户导向一个伪装成合法APP的恶意应用软件。恶意软件另一个分发途径是被入侵的网站,比如伪装成一个视频播放器软件,诱使用户下载安装以便观看视频内容。用户经常会忽略安全警告而自愿安装恶意应用程序。对用户而言,在安装的过程中仔细阅读应用程序所请求的权限仍然是最有效的保护方式之一,不过现在已经有一些应用程序开始采取延迟请求权限的策略,以便后续实施更多的社会工程学攻击。
恶意应用不仅是第三方应用程序商店上发现的问题,在Google Play Store上也检测到很多受感染的应用程序,这种趋势仍将继续。例如2017年2月,Google Play Store上有一款名为“Good Weathe” (好天气)的应用,是Android.Fakebank.B的变种伪装而成的,这款应用大约有5000个用户下载。
Android操作系统不断在变化,与此同时,攻击者也不断的调整攻击方法和战术。移动端金融恶意攻击主要的方法包括短信和电话转发、虚假表单覆盖、信息窃取,以及伪造银行APP等。
虚假表单覆盖仍然是一个常见的策略,虽然Android6.0版本为恶意软件制作者使用这一方法增加了难度。类似于PC端的威胁,移动端的威胁可以从APP对应的远程C&C服务器或用户访问过的网站上动态地下载覆盖表单,这个虚假的覆盖表单可以窃取用户的登录凭据或者要求用户提供额外的信息(如信用卡的详细信息等)。
移动金融恶意软件的活动针对非金融类的应用程序,如社交媒体应用程序或聊天应用程序。例如,我们观察到一些Android. Fakebank.B的变种(又被称为Marcher)的攻击目标超过了125个不同的机构。有些时候,攻击者会假装成银行发送一些要求用户验证欺诈交易的文本信息,这会创造一种紧迫感,促使用户尽快的登录到金融类的应用程序上。
Android.Fakebank.B 使用到的另一个策略是把自己添加到电池优化的例外白名单列表里,所以当手机进入省电模式,木马就可以绕过Android 6.0 种新特性的限制,允许木马程序与其C&C服务器保持连接。三月份Android.Fakebank.B家族的木马利用了呼叫限制功能,恶意软件可以阻止任何在预定义的客户服务号码列表中的电话呼叫,这一功能使得用户更佳难以核实或取消与金融机构相关的可疑交易。这一功能与windows平台上的Shylock恶意软件的手法相似,在受感染的计算机上当用户访问银行网站时,Shylock恶意软件会修改银行客户支持的电话号码。
有时攻击者使用简单的伎俩来实现它们的目的。2016年初,Android.Bankosy添加了一个简单的技巧用以拦截2FA令牌的语音(银行发给用户的一个合成的语音,内容是2FA的验证信息)。木马增加了一个呼叫转移功能,使用了特殊的服务代码*21*[DESTINATION NUMBER]#,这段代码被许多电话运营商支持),一旦被激活,从银行发来的信息会转到攻击者控制的VOIP号码上,攻击者通过2FA验证后继续执行欺诈交易。
“ crimeware-as-a-service”的模式也适用于移动恶意软件。比如,2016年有一个名为Exo Android Bot 的木马在论坛上大量发放广告,作者承诺其制作的恶意软件可以拦截短信、虚假表单覆盖功能,24/7提供技支持,服务价格为每周400美元或每年3000美元。威胁的焦点当然是金融类的应用程序。
瓦解和下架
过去一年的时间里,世界各地的研究人员和执法机构之间架起合作,严重打击了金融恶意软件的发展,这其中包括几个告知名度金融木马的下架。这些努力不仅消减了恶意软件的活动,同时也是对参与这类犯罪活动的网络犯罪份子的一种警告。
Dyre
2016年初,突破金融欺诈木马 Dyre 的故事比较有名。2016年二月份的报道称,金融木马的活动量大幅下降与俄罗斯在2015年11月份展开的执法活动有关。Dyre在2016年检测数量下降了92%。
Dyre在2015年发展成为了最活跃的金融欺诈工具之一,Dyre的垃圾邮件活动保护了一个恶意附件,用户打开后会安装一个名为Upatre的下载器(Downloader.Upatre)。2015年7月份,Upatre检测率达到了高峰(超过了25万)。2015年11月之后,监测到 Upatre 和 Dyre 的数量急剧下降。
Dyre下架具体情况还不清楚,没有明确的证据证明谁被逮捕或者逮捕了多少人。2016年年底有报道称新的银行木马Trickbot是基于Dyre重写的。
Avalanche 雪崩
Avalanche 雪崩,是一个在线恶意软件分发和管理平台,主要托管各类僵尸网络、银行木马和勒索软件。
清除Avalanche的行动对其背后的网络犯罪社区是一个严重的打击,扣押了多个恶意软件家族使用的基础设施。Avalanche清除行动是多个国际执法机构、检察官、安全和IT组织(赛门铁克在内)共同努力的结果。收缴了犯罪组织使用的39台服务器和数十万个域名。
赛门铁克针对Avalanche网络的研究起始于2012年,当时主要集中在针对德国、奥地利和瑞士地区的勒索软件相关的研究上。当时德国警方正在对 Bebloh 恶意软件进行调查,赛门铁克研究人员在调查过程中向警方提供技术援助,双方联合努力最终导致了雪崩僵尸网络浮出水面。
Avalanche是一个庞大的恶意软件控制管理平台,托管了至少17种不同恶意软件家族,负责控制大量世界各地受感染的计算机。调查活动在2016年11月30号收尾,直接撤除了平台的基础设施,逮捕了多名涉案人员。
逮捕
除了下架的举措外,2016年相关机构对犯罪份子实施了各种抓捕。俄罗斯安全部队在2016年6月对Lurk 黑客组织(主要针对俄罗斯金融机构,涉案金额超过了2500万美元)进行了严厉的打击,在莫斯科逮捕了50名木马制作者嫌疑人;2017年1月,疑是Trojan.Snifula的制作者在西班牙被逮捕,导致 Snifula 的活动几乎完全消失了。
这些逮捕行动带来了多个恶意软件家族活动的骤减,这其中包括了 Locky (Ransom.Locky) 、Dridex 和 Angler 漏洞利用工具包。不过 Locky 和 Dridex在2016年下半年重新活跃了起来,但是 Angler 却依然没有动静。据此推断, Lurk banking Trojan (Trojan.Filurkes) 和 Angler 漏洞利用工具包的背后可能是相同的人,Lurk 组织的成员被逮捕了,Angler 的踪迹也消失了。
结 论
虽然金融恶意软件在2016年的检测量下降了36%,但这与多起国际性的清除和逮捕行动有关,金融威胁依然很活跃。2016年的三大恶意软件家族是Ramnit (aka Gootkit) 、 Bebloh 和 Zbot (aka Zeus),它们占整体金融威胁相关活动的86%。令人惊讶的是,少数样本拥有惊人的流行度,比如一个 Bebloh 样本在2016年1月份的检测量占全球所有检测量的47%。这一结果与数以百万计的垃圾邮件有关。金融木马的感染向量与其他常见的恶意软件(比如勒索软件)一样,许多犯罪组织共享相同的垃圾邮件僵尸网络或漏洞利用工具包的情况已经屡见不鲜。
日本在2016年遭受的金融恶意软件攻击占全部攻击的37%,这表明攻击者能够很快的适应新的市场,一旦之前的目标变大保护:保护的很好或是不在轻易受骗,攻击者就会调整目标。
沙盒逃逸和反调试技术在2016年基本上没有变化,然而,使用重定向攻击的活动有所增加,受害人被重定向一个远程站点,然后实行内联的攻击,这会给终端防护带来更多困难。
另一个明显的趋势是针对企业和金融机构本身的攻击有所增加。平均而言。被检测到的所有金融威胁中,38%发生在企业。一旦攻击者识别到目标已被感染,他们会远程登录到受害主机,慢慢的学习交易规则,当机会来临时,会试图在每月的发票付款订单中注入一些虚假的交易,或者尝试提交一些跨行转账的申请。即使这类攻击很难执行且需要更长的准备时间,但是它们能够带来更高的利润。随着 Lazarus 集团与一些高调的银行攻击有了关联,寓意着一个可能由国家支持的网络经济犯罪行动首次浮出水面。
Android平台上的威胁主要集中在表单重叠攻击或伪造银行APP方面,我们已经观察到超过170款恶意的移动应用。移动端的威胁还与金融机构通过手机APP部署的双因素认证有关。由于最新版本的Android操作系统对这类攻击作了很好的防护,我们看到攻击者重新回归社会工程学的手段,试图诱骗受害人授权执行欺诈交易。归根结底,在一个线上交易流程中,用户依然是最薄弱的环节,这就意味着,即使是拥有最强大的技术,依然可能遭受到社会工程学攻击的破坏。
我们预计,未来对用户而言,金融恶意软件依然是一个问题,攻击者可能会更关注企业的财务部门并使用社会工程学进行攻击。
防护措施
采用多层防护的方案最大限度的减少受感染的机会。赛门铁克又一个针对恶意软件,包括金融木马的防护战略,分为三个阶段:
01 预防:阻止入侵或感染,防止危害的发生
02 遏制:一旦被感染,尽可能的限制攻击的传播
03 响应:事件响应流程,学习经验,提高防护能力
预防感染的效果是最好的,所以对如何预防感染多做投入是值得是。电子邮件和受感染的网站是恶意软件最常用的感染载体,对这两种感染载体采取强而有力的防御措施将有助于减少受感染的风险。
*图片来自报告
*
本文
来自MottoIN(ID:m
ottoin
)
