银行歹意软件ATMitch再次出现 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

银行歹意软件ATMitch再次出现

申博_新闻事件 申博 76次浏览 未收录 0个评论

简介

4月第一天,yoroi平安实验室检测到了一个新的歹意软件样本。开端审定效果显现,它能够或许与两年前俄罗斯某家银行遭黑客突击事宜相干,卡巴斯基实验室曾对此做过纪录,此次事宜的幕后黑手是某一APT构造,进击者利用了一种名为ATMitch的特定歹意软件东西,在大范围的企业收集入侵后,手动装置在目的银行的ATM机上,进而支配ATM机的存款历程。该歹意软件能够或许自2017年起便一向活泼在野外。

手艺剖析

可实行样本是名为“tester.exe”的PE32 x86文件。它似乎是用于加载歹意payload的自定义加载器,payload能够或许掌握目的机械。

银行歹意软件ATMitch再次出现

表1:关于ATMitch的Dropper / Loader的信息

静态数据显现,该样本是2017年10月8日完成编译的,比卡巴斯基表露ATMitch进击行为晚了几个月。虽然日期有被改动的能够或许,但其他静态细节注解,日期更有多是实在的。

银行歹意软件ATMitch再次出现

图1:payload作为加载器的资本

可实行文件启动后,会在“C:\ intel”上建立一个新文件夹,然后最先搜检统统正在运转的历程,并找寻一个异常特别的历程——“fwmain32.exe”。“fwmain32”是德国德利多富公司(Wincor Nixdorf International GmbH)供应的软件效劳中的一个历程,而德利多富恰是供应零售和银行硬件(如ATM)的重要供应商之一。

银行歹意软件ATMitch再次出现

图2:歹意软件对“fwmain32.exe”历程的研讨

一旦找到“fwmain32.exe”历程,加载器会将现实payload注入到本身内存中,存储在加载器资本局部中的payload DLL将运用“SetThreadContext”注入手艺(线程挟制)植入目的历程当中,进而沾染“fwmain32.exe”。

银行歹意软件ATMitch再次出现

图3:完全的线程挟制流程

上图显现了OpenThread和SuspendThread函数的挪用历程,这两个函数用于停息以后实行。 在目的历程中分派准确的内存量后,它运用WriteProcessMemory函数写入shellcode目的内存空间,并运用SetThreadContext设置新的历程上下文,末了经由过程ResumeThread函数,payload能够或许启动其歹意实行。

当加载顺序胜利将payload注入“fwmain”历程时,会显现一个弹出窗口,申报注入阶段的效果。

银行歹意软件ATMitch再次出现

图4:提醒注入阶段效果的弹出窗口

ATMitch Payload

银行歹意软件ATMitch再次出现

表2:Payload相干信息

注入的DLL有一个异常典范的依靠干系:它须要“msxfs.dll”能力实行后续操纵,“msxfs.dll”库能供应对EXtension for Financial Service(XFS)API的接见,而XFS API是与PIN键盘和自动提款机等AMT组件交互所需的通讯接口,只存在于特别用处的Windows情况中,好比Wincor。

银行歹意软件ATMitch再次出现

图5:“msxfs.dll”,歹意软件与ATM装备通讯所需的库

歹意软件的实行流程其实不庞杂:它从“c:\ intel”文件夹的文件中读取敕令,并与ATM驱动顺序举行交互,以便检索有关以后金额的信息并在恰当的时候分出资金。下图展现了一个与PinPad和Dispenser(自动提款机)等ATM组件举行通讯的函数。

银行歹意软件ATMitch再次出现

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

概述 Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即工具连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。 上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币挖掘的恶意软件,其中包含一个旨在隐藏其活动的Rootkit。这种技术很容易让我们联想到2018年11月发生的另一起使用挖矿工具+Rootkit组合的攻击。 投放和传播 该恶意活动的感染链如下: 在攻击开始时,首先发送一个远程命令,从Pastebin下载Shell脚本(hxxps://pastebin[.]com/MjGrx7EA)。 该Shell脚本会终止某些进程,然后从另一个Pastebin(hxxps://pastebin[.]com/CvJM3qz5)下载并执行lsd_1文件。该文件是第二个Shell脚本,它会投放第三个Shell脚本lsd_2,该脚本来自另一个Pastebin(hxxps://pastebin[.]com/a3EAddwq)。 这一Shell脚本负责从下面的服务器中,下载木马程序: gwjyhs[.]com
img[.]sobot[.]c

图6:PinPad和Dispenser组件

运用“msxfs.dll”库供应的函数,歹意软件能够轻松地与这些组件举行交互。比方WFSExecute函数能够将以下敕令发送到提款机,如OPEN_SHUTTER或OPEN_SAFE_DOOR。

 银行歹意软件ATMitch再次出现

图7:ATM吸收的局部敕令

在特定情况下,歹意软件运用该函数经由过程敕令WFS_CMD_CDM_DISPENSE流出资金,如图所示:

 银行歹意软件ATMitch再次出现

图8:歹意软件用于分派资金的敕令“WFS_CMD_CDM_DISPENSE”

歹意软件的中心是以下交换机构造:在从特定文件读取新敕令以后,它将敕令代码与嵌入的敕令代码举行对照,比方用于检索信息的“代码2”或用于分派资金的“代码7”。

 银行歹意软件ATMitch再次出现

图9:歹意软件的交换机构造

另外,歹意软件还具有构造优越的日记纪录体系:统统操纵都被跟踪并纪录到“c:\intel\__log.txt”中。关于须要纪录的操纵,它能够设置特定的日记纪录级别(FATAL,ERROR,DEBUG等)。

 银行歹意软件ATMitch再次出现

图10:歹意软件日记纪录体系的日记级别

结论

我们预测该ATMitch样本多是Carbanak或GCMAN构造所为。实行流程以下:进击者在断绝的主机中手动装置,直接将敕令写入目的机械,而不须要任何敕令和掌握流量;接着经由过程Remote Desktop连接到目的机械,第一阶段准确实行后还会显现图4所示的提醒窗口,以后进击流程我们推想以下:

1.进击者运用Remote Desktop连接到ATM机;

2.进击者转移加载器可实行文件并运转:提醒窗口显现统统希望顺遂后实行后续步调;

3.进击者删除初始文件以抹去陈迹;

4.进击者在恰当的文件中写入敕令;

5.歹意软件实行新敕令并写入日记文件;

6.进击者搜检日记文件以相识敕令实行的状况。

因而,这类歹意软件的终究存在能够或许只是APT构造实行的更庞杂、更明白的进击前的冰山一角。

IoC

Hashes

· bf9c35d8f33e2651d619fe22a2d55372dedd0855451d32f952ecfc73fa824092

· e372631f96face11e803e812d9a77a25d0a81fa41e4ac362dc8aee5c8a021000

Yara Rules

import "pe"
rule ATMitch {
meta:
     description = "Yara Rule for ATMitch Dropper/Payload"
     author = "ZLAB Yoroi - Cybaze"
     last_updated = "2019-05-03"
     tlp = "white"
     category = "informational"
 
   strings:
       $str1 = {4A 75 E6 8B C7 8B 4D FC}
      $str2 = {EC 53 8D 4D DC 88}
       $str3 = "MSXFS.dll"
       $str4 = "DISPENSE"
      $str5 = "PinPad"
       $str6 = "cash"
       $str7 = {40 59 41 50 41 58 49 40 5A}
       $str8 = "WFMFreeBuffer"
 
condition:
    pe.number_of_sections == 4 and pe.number_of_resources == 3 and $str1 and $str2 or $str3 and $str4 and $str5 and $str6 and $str7 and $str8
}

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明银行歹意软件ATMitch再次出现
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址