FASTCash:Lazarus集团如何从ATM中清空数百万美元

赛门铁克发现了Lazarus用于执行ATM攻击的工具。

2018年10月2日,US-CERT,国土安全部,财政部和联邦调查局发出警报。根据这一新警报,Hidden Cobra(美国政府的Lazarus代号)一直在进行“FASTCash”攻击,至少从2016年起就从亚洲和非洲的银行窃取自动柜员机(ATM)的资金。

拉撒路是一个非常活跃的攻击组织,涉及网络犯罪和间谍活动。该集团最初以其间谍活动和一些备受瞩目的破坏性攻击而闻名,包括2014年对索尼影业的攻击。最近,Lazarus也参与了出于经济动机的攻击,其中包括来自孟加拉国中央银行WannaCry勒索软件的8100万美元盗窃案

根据US-CERT的报告,赛门铁克的研究发现了该集团近期金融攻击浪潮中使用的关键组件。这项名为“FASTCash”的行动使Lazarus欺骗性地清空了现金自动取款机。为了进行欺诈性提款,Lazarus首先违反了目标银行的网络并破坏了处理ATM交易的交换机应用服务器。

一旦这些服务器遭到入侵,就会部署以前未知的恶意软件(Trojan.Fastcash)。该恶意软件反过来拦截欺诈性的Lazarus现金提取请求并发送虚假的批准回复,允许攻击者从ATM窃取现金。

根据美国政府的警报,2017年发生的一起事件中,30多个国家的ATM机同时取现现金。在2018年的另一起重大事件中,现金来自23个不同国家的自动取款机。到目前为止,Lazarus FASTCash的运营估计已经被盗了数千万美元。

FASTCash攻击如何工作 – 详细信息

为了允许他们从ATM进行欺诈性提款,攻击者将恶意的高级交互式执行(AIX)可执行文件注入到金融交易网络的交换机应用服务器上的正在运行的合法进程中,在这种情况下是处理ATM交易的网络。恶意可执行文件包含构造欺诈性ISO 8583消息的逻辑。ISO 8583是金融交易消息传递的标准。之前未记录此可执行文件的用途。之前认为攻击者使用脚本来操纵服务器上的合法软件以启用欺诈活动。

但是,赛门铁克的分析发现,这个可执行文件实际上是恶意软件,我们将其命名为Trojan.Fastcash。Trojan.Fastcash有两个主要功能:

  1. 它监视传入的消息并拦截攻击者生成的欺诈性事务请求,以防止它们到达处理事务的交换机应用程序。
  2. 它包含生成欺诈性交易请求的三个欺诈性响应之一的逻辑。

一旦安装在服务器上,Trojan.Fastcash将读取所有传入的网络流量,扫描传入的ISO 8583请求消息。它将读取所有邮件的主帐号(PAN),如果发现任何包含攻击者使用的PAN号,恶意软件将尝试修改这些邮件。如何修改消息取决于每个受害者组织。然后,它将发送批准欺诈性提款请求的虚假响应消息。结果是,拉扎鲁斯袭击者通过自动取款机取款的努力将获得批准。

以下是Trojan.Fastcash用于生成虚假响应的响应逻辑的一个示例。此特定示例具有基于传入的攻击者请求构建三个虚假响应之一的逻辑:

对于消息类型指示符== 200(ATM交易)和服务点进入模式以90开始(仅限磁条):

如果处理代码以3开始(余额查询):

响应代码= 00(已批准)

否则,如果主要帐号被攻击者列入黑名单:

响应代码= 55(无效的PIN)

所有其他处理代码(使用非黑名单的PAN):

响应代码= 00(已批准)

在这种情况下,攻击者似乎已经建立了根据自己的帐号黑名单有选择地拒绝交易的能力。但是,此示例中未实现此功能,并且检查黑名单始终返回“False”。

赛门铁克发现了几种不同的Trojan.Fastcash变体,每种变体都使用不同的响应逻辑。我们相信每个变体都是针对特定的事务处理网络量身定制的,因此具有自己的定制响应逻辑。

用于执行FASTCash攻击的PAN编号与真实账户有关。根据US-CERT报告,用于启动交易的大多数账户都有最小的账户活动或零余额。攻击者如何控制这些帐户仍不清楚。攻击者可能会自己打开帐户并使用发给这些帐户的卡提出取款请求。另一种可能性是攻击者使用被盗卡进行攻击。

在迄今为止报告的所有FASTCash攻击中,攻击者已经破坏了运行不受支持的AIX操作系统版本的银行应用程序服务器,超出了其Service Pack支持日期的末尾。

谁是拉撒路?

拉撒路是一个非常活跃的团体,涉及网络犯罪和间谍活动。Lazarus最初以参与间谍活动和一些备受瞩目的破坏性攻击而闻名,其中包括2014年对索尼电影公司的攻击,其中大量信息被盗,计算机被恶意软件清除。

近年来,拉撒路也参与了经济动机的攻击。该集团与2016年孟加拉国中央银行的8100万美元盗窃案以及其他一些银行抢劫案有关。

Lazarus还 2017年5月的WannaCry勒索软件爆发有关.WannaCry合并了泄漏的“EternalBlue”漏洞,利用Windows中的两个已知漏洞(CVE-2017-0144  和  CVE-2017-0145)将勒索软件变成蠕虫,扩散到受害者网络上的任何未打补丁的计算机以及连接到互联网的其他易受攻击的计算机上。在发布后的几个小时内,WannaCry已经感染了全球数十万台计算机。

对金融部门的持续威胁

最近的FASTCash攻击浪潮表明,出于经济动机的攻击不仅仅是Lazarus集团的过往兴趣,现在可以被视为其核心活动之一。

与2016年系列虚拟银行抢劫案(包括孟加拉国银行抢劫案)一样,FASTCash表明,Lazarus拥有对银行系统和交易处理协议的深入了解,并具备利用这些知识从窃取银行窃取大笔资金的专业知识。

简而言之,Lazarus继续对金融部门构成严重威胁,组织应采取一切必要措施,确保其支付系统完全及时更新。

保护

赛门铁克有以下检测措施来保护客户免受Lazarus FASTCash攻击:

减轻

组织应确保操作系统和所有其他软件是最新的。软件更新通常会包含可能被攻击者利用的新发现的安全漏洞的补丁。在迄今为止报告的所有FASTCash攻击中,攻击者已经破坏了运行不受支持的AIX操作系统版本的银行应用程序服务器,超出了其Service Pack支持日期的末尾。

妥协的指标

D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE(Trojan.Fastcash Injector)

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C(Trojan.Fastcash DLL)

10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA(Trojan.Fastcash DLL)

3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C(Trojan.Fastcash DLL)

About hackgoo 105 Articles
渗透测试人员,信息安全维护 主要技能web安全,linux运维 站在巨人的肩膀上,在学习中进步,在进步中学习,低调求生存 极客谷保留所有权利,转载请注明出处

Be the first to comment

Leave a Reply

Your email address will not be published.


*