ATMitch恶意软件:无文件ATM恶意软件能否被阻止?

日期:2017-9-1作者:Nick Lewis翻译:邹峥 来源:TechTarget中国 英文

【TechTarget中国原创】

卡巴斯基实验室研究人员发现了一种名为“ATMitch”的新型无文件ATM恶意软件,该恶意软件可让攻击者非法取款,然后可自行删除记录。那么,卡巴斯基是如何发现这个ATMitch恶意软件?攻击者如何分发它?


Nick Lewis:与一般使用系统相比,高安全性环境通常执行更严格的安全要求。另外,即使在不同类型的高安全环境(例如银行环境),基于设备功能也需要不同级别的安全性。银行的标准台式电脑必须安全,同时还需要提供一般功能以确保日常员工使用。

另一方面,ATM功能应该限于ATM任务,例如提款或者存款,并只能通过有限的ATM接口访问。同时,银行可通过限制ATM接口可提供的功能来最大限度降低ATM这部分攻击面。

ATM接口是ATM安全性最明显的方面,ATM需要多级别安全来抵御物理和网络攻击。物理安全通常受成本限制,而网络安全也受成本限制,并需要远程管理。

卡巴斯基实验室主要安全研究人员Sergey Golovanov和Igor Soumenkov介绍了利用ATMitch恶意软件的ATM攻击。这种攻击使用的方法似乎与高级持续威胁攻击团伙GCMAN和Carbanak使用的方法相似。

当卡巴斯基实验室被银行业客户要求调查恶意软件时,卡巴斯基发现了这个ATMitch恶意软件。这个过程本应该很简单,即通过端点保护软件提交潜在可疑二进制文件样本,以查看该供应商检测到任何恶意软件,或者银行应该联系卡巴斯基要求进行额外的分析。

卡巴斯基描述称,ATMitch恶意软件攻击的第一阶段需要获取银行系统的访问权限,然后使用开源或其他公开可用的公用程序来控制系统以及攻击其他ATM。由于它在内存中运行,这种无文件恶意软件会在受感染系统重启后消失。

卡巴斯基报道称这个攻击中还涉及一台域控制器,这可能是攻击者用来分发恶意软件到目标ATM的部分方法,尽管他们还报告称攻击者通常会物理攻击ATM,在设备钻孔以执行所需的命令来激活ATMitch恶意软件并提取现金。

目前尚不清楚域控制器仅限于管理ATM还是用于整个银行,但银行似乎有完全独立的管理基础设施来管理ATM以及一般使用端点。也许可关联不同环境之间的日志来检测任何可疑行为,但对ATM的远程访问似乎应该比一般使用端点更受限制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心