新款ATM恶意软件Alice 可对抗动态分析 但目前需要物理接触主机

趋势科技（Trend Micro）安全公司的研究人员警告称，新发现的恶意软件家族主要针对ATM机（自动取款机），唯一目的就是要掏空ATM机保险箱里的现金。

alice软件是什么

这款恶意软件被称为“Alice”，是迄今最大的ATM威胁。Alice没有窃取信息的功能，甚至无法通过ATM机的数字键操控。Alice最早发现于2016年11月，但被认为自2014年起就已存在。趋势科技表示，虽然这类威胁已存在九年多时间，Alice只是至今见到的第8个ATM恶意软件家族。

使用恶意软件要求物理连接到ATM机。趋势科技表示，恶意软件被设计成钱骡，以窃取受攻击ATM机内的所有现金。去年，恶意软件GreenDispenser就是这样做的。

然而，与GreenDispenser不同，这种新威胁并没有连接ATM机的密码键盘，可通过远程桌面协议（RDP）来使用，但趋势科技表示，目前并没有证据表明此类使用方法。

新款ATM恶意软件Alice 会侦测当前运行环境是否ATM机

恶意软件分析显示，Alice（二进制版本信息中包含此名称）中有一个名为“VMProtect”的商业化、现成的软件包/混淆器，可防止调试器内部的执行。此外，该恶意软件可在执行前进行环境检查，如果发现不是运行在ATM机上，则会自行终止（它会检查多个注册表键，并需要在系统上安装特定的DLL）。

在机器上运行时，Alice在根目录下对两个文件进行写操作：名为xfs_supp.sys、大小为5 MB+的空文件和名为TRCERR.LOG的错误日志文件。接着，它连接到XFS环境中的分配器（currencydispenser1），如果PIN码正确，它将显示各个钞箱的信息，并取走机器里的现金。

由于恶意软件只连接currencydispenser1，但并未尝试使用机器的密码键盘，研究人员认为，攻击者只是通过物理方式打开ATM机并通过USB或光盘进行感染。并且，研究人员还表示，攻击者将键盘与ATM机的主板进行连接，并通过这种连接来操控恶意软件。

安全研究人员发现，Alice支持以下三个通过具体PIN码发布的命令：用于丢弃卸载文件的命令、用于退出程序并运行卸载/清除程序的命令，以及用于打开“操作面板”的命令。操作面板中可显示ATM机中的现金信息。

就在这个界面上 攻击者就可以控制ATM机吐钞票了

攻击者只需输入钞箱ID，ATM机就会为其分配现金。分配命令通过WFSExecute API发送至CurrencyDispenser1。通常，ATM机都有每次40张钞票的分配限制，攻击者执行重复操作就可以清空钞箱中存放的所有现金。屏幕上会动态显示剩余现金的信息。这样，攻击者就知道钞箱何时已被清空。

趋势科技认为，攻击者手动更换了已感染Alice恶意软件的目标机上的Windows任务管理器，因为恶意软件通常是在受感染的系统上以taskmgr.exe的形式被发现的。Alice并没有持续的方法，但将它作为任务管理器运行意味着每次发出调用任务管理器的命令时都会调用Alice。

“在现金分配前需要输入PIN码，这表明Alice恶意软件只用于个案攻击。Alice恶意软件没有精心的安装或卸载机制—它的工作原理仅是在适当的环境中运行可执行文件。”研究人员如是说。

PIN认证系统类似于其他ATM恶意软件家族所用的系统，但前者还提供恶意软件作者，能够控制访问Alice的人。通过改变样本之间的访问代码，恶意软件作者可防止钱骡共享代码，或者可跟踪个人钱骡，或两者都可以。

所分析样本中使用的是四位密码，但其他样本中可能会使用更长的PIN码。PIN码不能被暴力破解，因为Alice在自行终止和显示错误信息前接受输入限制。研究人员还认为，Alice可运行在配置使用微软扩展金融服务中间件（XFS）的任何厂商硬件上。

趋势科技表示，

“现在，ATM恶意软件属于恶意软件中的利基类，被数个犯罪团伙用于高针对性的攻击中。我们现在正处于ATM恶意软件日渐成为主流的时期。”

钱骡是什么

钱骡（Money mule）指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人，款物接收国通常是诈骗份子的居住地。Money mule这个说法是在drug mule（药骡）的基础上衍生出来的。

小编：这不就是网络洗钱的人嘛

原文发布时间：2017年3月24日 

本文由：securityWeek 发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/new-atm-malware-alice

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站