卡巴斯基實驗的全球研究和分析團隊對東歐一起針對多款ATM機的網絡犯罪進行了取證調查。調查過程中，該團隊發現了一款新型的惡意軟件Tyupkin，該惡意軟件使用了控制活動時段和會話密鑰等技術來躲避檢測。而且該軟件一直在不斷演化發展種。同時，該惡意軟件從一個側面揭示了網絡犯罪對金融行業的威脅的變化趨勢。

??

ATM機的大致構造(費老大勁找的，主要為了科普)

一、起源

今年年初，受一家金融機構的委托，卡巴斯基實驗的全球研究和分析團隊對東歐一起針對多款ATM機的網絡犯罪進行了取證調查。在調查過程中，我們發現一款惡意軟件能夠讓攻擊者直接操縱ATM機來掏空ATM機的現金箱。

在調查的時候，該惡意軟件活躍在東歐銀行機構所屬的超過50個ATM機上。根據提交到VirusTotal的數據，我們相信該惡意軟件已經傳播到其他幾個國家，包括美國、印度和中國。

因為該惡意軟件所感染設備的性質，我們沒有卡巴斯基安全網絡(KSN)的數據來確定感染范圍。然而，基于VirusTotal的統計數據，我們可以看到以下國家提交過該惡意軟件的樣本。

?? 

由卡巴斯基實驗檢測到的新款惡意軟件Backdoor.MSIL.Tyupkin，影響一個重要ATM制造商生產的并運行著微軟Windows 32位操作系統的ATM機。

該惡意軟件運用了幾項狡猾的技術來逃避檢測。首先，它只在晚間某個特定時間出于激活狀態。再者，它為每個會話分配一個會話密鑰，該密鑰是基于隨機種子生成的。只有知道會話密鑰，攻擊者才能和受感染的ATM進行交互。

當密鑰被正確的輸入后，該惡意軟件會顯示每個現金箱中有多少現金可用，并允許攻擊者直接操作ATM從選定的現金箱中取出40張鈔票。(還不是涸澤而漁，想細水長流啊)。

大部分的分析樣本是在2014年3月編譯的。然而，該惡意軟件已經發展演化了一段時間。在最近的變種中(版本d)，該惡意軟件實現了反調試(anti-debugging)和抗仿真(anti-emulation)技術，并使受感染的系統上禁用McAfee Solidcore。#p#

二、分析ATM攻擊

根據位于受感染ATM機的安全攝影機所記錄的影像，攻擊者能夠操作ATM機并通過可引導光盤來安裝惡意軟件。

攻擊者拷貝下列文件到ATM機中：

C:\Windows\system32\ulssm.exe

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

經過環境的檢測之后，該惡意軟件移除.lnk文件，并在注冊表中創建一個鍵：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"AptraDebug" = "C:\Windows\system32\ulssm.exe"

然后，該惡意軟件就能通過標準庫MSXFS.dll(金融服務擴展，XFS)與ATM機進行交互了。

這個惡意軟件運行一個無限循環來等待用戶的輸入。為了更加難以被檢測，Tyupkin默認情況下只在周日和周一的晚上接受命令。它接受以下命令：

XXXXXX – Shows the main window.(顯示主窗口)

XXXXXX – Self deletes with a batch file.(通過batch文件進行自刪除)

XXXXXX – Increases the malware activity period.(增加惡意軟件的活躍時段)

XXXXXX – Hides the main window.(隱藏主窗口)

輸入命令之后，操作者必須按下ATM機鍵盤上的回車鍵。Tyupkin使用會話密鑰來防止其他用戶誤打誤撞參透玄機。在輸入“Shows themain window”命令之后，該惡意軟件顯示信息“"ENTER SESSION KEY TOPROCEED!”(輸入會話密鑰后繼續)。

該惡意軟件的操作者必須了解算法并根據所顯示的種子來生成一個會話密鑰。只有當密鑰被正確的輸入，攻擊者才可以與受感染的ATM機進行交互。然后，該惡意軟件顯示以下信息：

CASH OPERATIONPERMITTED.(允許的現金操作)

TO START DISPENSE OPERATION -(開始取款操作)

ENTER CASSETTE NUMBER AND PRESS ENTER.(輸入現金箱的編號并按回車)

??

當操作選擇了現金箱的編號之后，ATM機會吐出40張鈔票。當輸入的會話密鑰不正確時，該惡意軟件禁用本地網絡并顯示消息：

DISABLING LOCALAREA NETWORK...(禁用本地網絡)

PLEASE WAIT...(請等待)

我們并不清楚惡意軟件為什么要禁用本地網絡，可能為了延遲或干擾遠程調查。#p#

三、調查結論

近些年來，我們留意到使用分離設備和惡意軟件攻擊ATM機的事件呈現大幅上升趨勢。解讀全世界有關分離器劫持金融數據的報告，我們也見證了一個全球性的執法行動，逮捕并起訴了一批網絡犯罪分子。

眾所周知，當消費者把卡插入到銀行或加油站的ATM機上時，犯罪分子能夠利用分離器竊取消費者的信用卡和借記卡數據。此事也引起了人們增強了人們的安全意識并提醒人們在使用公共ATM時要采取一定的防范措施。

目前，我們注意到網絡犯罪所帶來的威脅沿著金融鏈條逐漸向上演變并把槍口直接瞄向了金融機構。具體表現在通過直接地感染ATM機或直接地針對銀行實施APT攻擊。Tyupkin惡意軟件就是其中的一個典型案例，攻擊者順勢而上并開始尋找ATM基礎設施的弱點。

事實上，大量的ATM機運行著存在已知缺陷的操作系統并缺乏相應的安全解決方案。這是另一個亟需解決的問題。

四、安全建議

我們建議部署ATM機的金融機構和公司考慮以下的安全建議：

① 審查ATM機的物理安全，考慮購買高質量的安全解決方案。

② 更改所有的ATM機默認的上池鎖(upper pool lock)和密鑰。避免使用供應商提供的默認主密鑰。

③ 安裝并確保ATM安全警報能夠正常工作。

④ 關于如何驗證您的ATM機是否被感染的說明，請通過intelreports@kaspersky.com聯系我們。對于如何全面掃描ATM系統并刪除這個惡意軟件，請使用免費的卡巴斯基病毒刪除工具(??下載地址??)

五、對于部署ATM操作員的一般建議

① 確保ATM機處于一個被安全攝像機所監控的開放的、視野開闊的環境中。ATM機應該被安全地固定在地板上，并安裝一個防套索裝置來威懾犯罪分子。

② 經常檢查ATM機是否添加了第三方設備(分離器)。

③ 警惕犯罪分子發起的社工攻擊，偽裝成檢查員或安全報警、安全攝像機以及部署的其他設備。

④ 認真對待入侵警報，向執法部門報告任何潛在的違法犯罪活動;

⑤ 考慮給ATM添加僅夠一天活動所需的現金;

⑥ 對于商家和用戶的更多建議請參考：??鏈接??