2017年1月11日,美国安全公司FireEye就新型恶意软件发布博客,命名其为“Ploutus—D”并评价其为“我们近几年所发现的最先进的ATM恶意软件系列之一”。由于其使用Kalignite 软件平台的部分组件攻击ATM,该恶意软件引起了KAL客户及整个ATM业的兴趣。本文为KAL对该恶意软件的理解及我们对ATM部署商建议。感谢FireEye公布的发现为KAL带来了更多的关注。
该恶意软件具有以下两个特征:
- 可以另实现XFS标准的ATM钞箱出钞
- 可以控制出钞的时间与金额从而“钱骡”能够根据负责人的远程指令拿走现金。
出钞
ATM业将会注意到XFS标准和KAL的Kalignite软件平台。该恶意软件通过使用KAL软件组件调用XFS SP让钞箱出钞。FireEye文章中猜测KAL的软件组件是在一台被盗窃的ATM中被获取的。在某些国家盗取ATM并不稀奇—— 不仅为其中的现金,而且为分析与获取软件组件。
控制出钞
在Ploutus恶意软件中有复杂的代码实现控制ATM出钞,“钱骡”取现的过程均在策划负责人的远程控制下。确保钱骡不能将钱据为已有,相反在他返回并从受攻击ATM上取到下一笔钱前,他必须将钱汇至此负责人。恶意软件需要将一个键盘或者一个手机连接到ATM上才可以实现这个方案,从而负责人可以实现/取消出钞过程,确保钱骡拿到指定金额的现金(或者另外的可能性譬如现金可分发给那时正在使用ATM的清白的客户。)出钞的金额无疑是由钱骡的地下信用等级决定的。
关于该恶意软件的出现并使用的一个关键方面并没有得到FireEye的解释,就是它最初是如何被安装到ATM上的。KAL 认为该恶意软件只能被用在缺乏安全保护,或者安全保护没有被启动的ATM上。如果要实现该恶意软件顺利安装并运行,已下的安全保护条件均需失败:
- 物理接触到ATM的PC核心:该恶意软件需要连接到键盘接口(比如PS/2端口)以及/或者连接到USB口。这要求在ATM现场做物理连接——大多数ATM都具有物理隔离从而杜绝了连接到ATM中PC核心的可能。另外,大多ATM机在装有PC核心的机柜有物理锁。
- 其次,该恶意软件需要被安装到ATM运行环境中。实现的条件必须先有同上所述的物理连接为基础,然后USB端口未被锁定可以接受任何大容量存储设备的的外接。或者,该恶意软件通过复杂的网络攻击被安装——但未有任何相关证据。我们分析最大的可能是通过未被锁定的USB端口安装的。
- 最后,该恶意软件需要在ATM上安装且运行。这在有白名单(Whitelisting)保护技术的ATM上是不可能的。
以上全部三方面安全保护的薄弱创造了该恶意软件攻击ATM的机会—— 任何一方面加强都可以阻止该恶意软件被安装以及使用。
对ATM部署商的建议
Ploutus-D威胁到所有ATM部署商,不单单是KAL的客户。如FireEye所说,“ 合法的KAL ATM软件以及非法的Ploutus-D恶意软件被同时植入了ATM系统...”,意味着所有实现XFS标准的ATM都具有同样的风险。
因此以下安全防护措施对保护所有ATM远离Polutus-D都非常重要:
- 确保ATM内部PC 核心物理安全,特别是主板、USB 端口、键盘端口应防止被轻易地非法接触。
- USB 存储应被锁定。USB端口的安全锁定极其重要,这样身份不明的存储设备不能被连接且使用。
- 软件白名单,只有合法认证的软件才能被允许在ATM上运行。
最后,我们增加一点要求: - Ploutus-D 恶意软件问题的发生不仅因为ATM 没有被正确的保护,而且是因为ATM的硬盘被盗取,其中的合法软件被非法盗用,所以整个硬盘的加密保护也是及其的必要。
对KAL客户的建议
我们建议KAL的客户在所有ATM 上开启KAL Lockdown(KAL锁定)功能。保护措施不仅包含以上所述的全部安全特征,而且还有其它的安全防范特征可以隔绝其它类型的恶意软件攻击。如需了解更多,欢迎联络。
2017年1月15日