赛门铁克发现朝鲜APT组织Lazarus攻击金融机构的关键性工具

10月2日,美国国土安然部(DHS)下属的US-CERT颁发了一则针对朝鲜APT组织Lazarus(Hidden Cobra)的技巧性预警看护布告,看护布告指出,在DHS、DoT(财政部)和FBI的合营努力下,发清楚明了Lazarus用于在举世实施ATM收集犯罪的恶意软件样本和多个要挟指标(IOCs),DHS把Lazarus组织的该系列恶意收集犯罪命名为“FASTCash”进击。10月8日,安然公司赛门铁克(Symantc)颁发申报声称,已经发清楚明了Lazarus组织用于“FASTCash”进击的关键性对象。

自2014年以来,Lazarus在举世多个国家实施了多起收集犯罪,入侵索尼公司、进击韩国金融媒体机构、偷取孟加拉央行8100万美元、进击美国国防承包商和比特币买卖营业所、提议WannaCry打单进击。DHS走漏,根据美国政府的可托相助伙伴评估,Lazarus仅针对金融机构的“FASTCash”进击偷取金额就达数切切美元。

赛门铁克的发明

赛门铁克钻研职员走漏,Lazarus组织在开展FASTCash进击时,首先会找点入侵目标银行的收集,接着渗透进入认真ATM买卖营业的互换利用办事器,终极在这些办事器上支配一些此前我们从未识别的恶意软件 – (Trojan.Fastcash) 。之后,Lazarus进击职员会提议敲诈性的现金提取哀求,其支配的恶意软件则认真哀求拦截监听,并会向认真ATM买卖营业的互换利用办事器返回伪装的哀求相应,以此实现对ATM系统的现金偷取。

根据US-CERT的预警看护布告反映,Lazarus于2017年提议了一路进击事故,其分手从举世30多个不合国家的ATM机系统中同时提取转移了大年夜量现金。同样的进击也在2018年发生过,这一次,Lazarus从23个不合国家的ATM机系统中偷取了大年夜量现金。

Lazarus开展FASTCash进击的详细流程

为了实现从ATM机系统中敲诈性的转移现金,Lazarus进击者详细的做法是,在认真ATM买卖营业的互换利用办事器中,向某个运行的合法进程注入一个高档交互履行法度榜样(Advanced Interactive eXecutive, AIX),这个恶意的AIX法度榜样包孕了构造伪装ISO 8583消息报文的逻辑(ISO8583金融买卖营业报文是银行业和金融办奇迹常用的数据消息钱式,常用于终端买卖营业设备中)。Lazarus这种伪装ISO 8583消息报文的技巧此前不曾被发明过,平日的觉得是Lazarus经由过程应用脚原先节制办事器实现转账买卖营业诈骗。

ISO8583金融买卖营业报文:是银行业和金融办奇迹常用的 ISO 标准,该标准指定了一个消息钱式,设备和发卡行之间可以应用该消息钱式来互换信用卡数据和借记卡数据,该标准平日为贩卖点设备和自动取款机所采纳。消息本身平日包孕有关买卖营业金额、买卖营业提议位置、卡的帐号以及银行分类代码的信息。接管数据的利用法度榜样可以有多种用途,例如在多个银行帐户之间转移资金、支付账单或手机充值。

赛门铁克及时发清楚明了这种注入到ATM买卖营业利用办事器中的恶意软件,并把它命名为 Trojan.Fastcash,实质上它属于木马类恶意法度榜样,且包孕了两个主要功能:

1、监视传入办事器的消息,并在哀求到达买卖营业办事器之前,拦截进击者天生的敲诈性买卖营业哀求

2、为了形成敲诈性买卖营业哀求,此中包孕了天生一个伪装相应的法度榜样逻辑

赛门铁克对FASTCash进击的发明样本

一旦Trojan.Fastcash被成功支配在认真ATM买卖营业的利用办事器中,其将会读取所有传入办事器的收集流量,并扫描流量中包孕的 ISO 8583报文哀求,而且它还会探测流量消息中,进击者用来履行买卖营业的银行主账户号(Primary Account Number,PAN),假如有银行主账户号呈现,Trojan.Fastcash就会考试测验改动涉及该账户号的消息。

Lazarus会根据不合的金融机构目标,推行不合的账户号消息改动措施,假如消息改动成功,Trojan.Fastcash会针对向ATM利用办事器提议的敲诈哀求,返回一条伪装的现金转账赞许相应,终极,Lazarus的转账申请就会被ATM利用办事器放行,从而成功实施了现金转账。

经阐发,以下是Trojan.Fastcash用来天生伪装赞许相应的一个法度榜样逻辑。这个特殊样本会根据进击者传入的敲诈哀求,构造以下不合三个伪装相应之一。

当ISO8583报文消息的类型标识 == 200,也便是ATM发生买卖营业行径,和POS机型磁条卡的办事点输入要领码从90开始时,Trojan.Fastcash有以下法度榜样逻辑:

If Processing Code starts with 3 (Balance Inquiry):

Response Code = 00 (Approved)

Otherwise, if the Primary Account Number is Blacklisted by Attackers(否则,假如进击者将主帐号列入黑名单):

Response Code = 55(Invalid PIN)

All other Processing Codes (with non-blacklisted PANs):

Response Code = 00 (Approved)

在这种环境下,进击者彷佛内置了根据他们自己设置的黑名单账户号有选择性地进行转账买卖营业,然则,该功能在这样本中并没有成功实现,其黑名单反省机制老是返回“False”。

赛门铁克发清楚明了和Trojan.Fastcash相关的几种不合特洛伊木马变种,且每种都应用了不合的相应逻辑,赛门铁克觉得这些变种都是针对不合金融机构的特定买卖营业处置惩罚收集而定制的,是以其具备的相应逻辑有所不合。

别的,被Lazarus组织用于FASTCash进击的银行主账户号(PAN)都是真实存在的,根据US-CERT的预警看护布告,这些被进击者用来提议买卖营业的账户号不太生动或是零余额状态,而进击者节制这些账户号的措施也暂不清楚,可能是进击者的自行开卡,也可能是其它进击活动中偷取的账户。

截至今朝,在所有对FASTCash进击的申报中,都提到了因为银行利用办事器的AIX操作系统更新不及时,存在破绽,导致被进击者入侵的说法。

Lazarus对金融机构的持续要挟

近来的FASTCash进击注解,对金融机构的进击不是Lazarus的一时兴起,很有可能是其经久的主要活动。犹如2016年的对孟加拉国央行的现金转移案一样,FASTCash进击反应了Lazarus对银行系统和买卖营业处置惩罚协议有着深入的钻研理解,并且能发明存在破绽的银行收集,并成功从中偷取转移现金,作案伎俩相称专业。

总之,Lazarus会持续对金融部门造成严重要挟,相关单位和部门应采取需要步伐,确保其支付系统及时更新并处于安然状态。

防护建议

1、及时更新操作系统

[1] [2]下一页

和相关利用软件;

2、关注并更新近期轻易被进击者使用的利用软件破绽;

3、及时更新利用办事中涉及的AIX操作系统。

IoC

D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)

10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)

3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包