Lazarus如何從ATM中欺騙性提取現金

2018年10月2日，US-CERT、國土安全部、財政部和聯邦調查局發出警報。根據這一最新警告是，Hidden Cobra（美國政府對Lazarus的稱呼）一直在進行FASTCash攻擊，2016年起就開始從亞洲和非洲的銀行竊取自動櫃員機（ATM）的資金。

Lazarus是一個非常活躍的攻擊組織，涉及網路犯罪和間諜活動。該組織最初以其間諜活動和一些備受矚目的破壞性攻擊而聞名，包括2014年對索尼公司的攻擊。最近，Lazarus也參與了出於經濟動機的攻擊，其中包括來自孟加拉國中央銀行的8100萬美元盜竊案和WannaCry勒索軟體。

根據US-CERT的報告，賽門鐵克研究發現了該組織在近期金融攻擊浪潮中使用的關鍵組件。這項名為「FASTCash」的行動使Lazarus欺騙性的清空了自動取款機中的現金。為了進行欺詐性提款，Lazarus首先入侵了目標銀行的網路並控制了處理ATM交易的交換機應用伺服器。

一旦這些伺服器遭到入侵，就會被部署之前未知的惡意軟體（Trojan.Fastcash）。該惡意軟體反過來攔截欺詐性的Lazarus現金提取請求並發送虛假的批准回復，允許攻擊者從ATM竊取現金。

根據美國政府的警告，2017年發生的一起事件中，Lazarus從30多個國家的ATM機同時提取現金。在2018年的另一起重大事件中，盜取的現金來自23個不同國家的自動取款機。到目前為止，Lazarus FASTCash估計已經盜取了數千萬美元。

一、FASTCash攻擊細節

為了允許從ATM進行欺騙性提款，攻擊者將惡意的高級互動式執行（AIX）可執行文件注入到金融交易網路交換機應用伺服器上正在運行的合法進程中，在此情況下是處理ATM交易的網路。惡意可執行文件包含構造欺詐性ISO 8583消息的邏輯，ISO 8583是金融交易消息傳遞的標準。之前沒有記錄反映此可執行文件的用途。之前一直認為攻擊者使用腳本來操縱伺服器上的合法軟體來准許欺詐活動。

但是，賽門鐵克的分析發現，這個可執行文件實際上是惡意軟體，我們將其命名為Trojan.Fastcash。Trojan.Fastcash有兩個主要功能：

1.監視傳入的消息並攔截攻擊者生成的欺詐性事務請求，以阻止它們到達處理事務的交換機應用程序。

2.包含生成欺詐性交易請求響應的邏輯，該邏輯視情生成三個響應之一。

一旦安裝在伺服器上，Trojan.Fastcash將讀取所有傳入的網路流量，掃描傳入的ISO 8583請求消息。它將讀取所有消息的主帳號（PAN），如果發現包含攻擊者使用的PAN號，惡意軟體將嘗試修改這些消息。如何修改消息取決於受害機構。然後，它將發送批准欺詐性提款請求的虛假響應消息。結果是，Lazarus攻擊者通過自動取款機取款的嘗試獲得批准。

以下是Trojan.Fastcash用於生成虛假響應的響應邏輯的一個示例。此特定示例的邏輯基於傳入的攻擊者請求構建三個虛假響應之一：

對於消息類型指示符== 200（ATM交易）和以90開始的服務點進入模式（僅限磁條）：

·如果處理代碼以3開始（餘額查詢）：響應代碼= 00（已批准）

·否則，如果主要帳號被攻擊者列入黑名單：響應代碼= 55（無效的PIN）

·所有其他處理代碼（使用非黑名單的PAN）：響應代碼= 00（已批准）

在這種情況下，攻擊者似乎已經具備了根據自己的帳號黑名單，有選擇的拒絕交易的能力。但是，此示例中未實現此功能，並且檢查黑名單始終返回「False」。

賽門鐵克發現了幾種不同的Trojan.Fastcash變體，每種變體都使用不同的響應邏輯。我們相信每個變體都是針對特定的事務處理網路量身定製的，因此具有自己的定製響應邏輯。

用於執行FASTCash攻擊的PAN與真實賬戶有關。根據US-CERT報告，用於啟動交易的大多數賬戶都有最小的賬戶餘額或零餘額。攻擊者如何控制這些帳戶仍不清楚。攻擊者可能會自己打開帳戶並使用相應的銀行卡提出取款請求。另一種可能性是攻擊者使用被盜卡進行攻擊。

在迄今為止報告的所有FASTCash攻擊中，攻擊者已經控制了運行不再受支持的AIX操作系統版本的銀行應用程序伺服器，其版本超出了Service Pack支持日期的最後期限。

二、Lazarus介紹

Lazarus是一個非常活躍的組織，涉及網路犯罪和間諜活動。Lazarus最初以參與間諜活動和一些備受矚目的破壞性攻擊而聞名，其中包括2014年對索尼電影公司的攻擊，該攻擊中大量信息被盜、計算機數據被惡意軟體清除。

近年來，Lazarus也參與了有經濟動機的攻擊。該組織與2016年孟加拉國中央銀行的8100萬美元盜竊案以及其他一些銀行搶劫案有關。

Lazarus還與2017年5月的WannaCry勒索軟體爆發有關。WannaCry合併了NSA泄漏的「EternalBlue」利用，使用Windows中的兩個已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟體變成蠕蟲，擴散到受害者網路上沒有打補丁的計算機以及連接到互聯網的其他易受攻擊的計算機上。在發布後的幾個小時內，WannaCry就感染了全球數十萬台計算機。

三、對金融部門的持續攻擊

最近的FASTCash攻擊浪潮表明，出於經濟動機的攻擊不僅僅是Lazarus組織的過往興趣，現在可以被視為其核心活動之一。

與2016年系列虛擬銀行搶劫案（包括孟加拉國銀行搶劫案）一樣，FASTCash表明，Lazarus擁有對銀行系統和交易處理協議的深入了解，並具備利用這些知識從竊取銀行竊取大量資金的專業知識。

簡而言之，Lazarus繼續對金融部門構成嚴重威脅，金融機構應採取一切必要措施，確保其支付系統完全及時更新。

四、緩解措施

金融機構應確保操作系統和所有其他軟體是最新的。軟體更新通常會包含可能被攻擊者利用的新發現的安全漏洞的補丁。在迄今為止報告的所有FASTCash攻擊中，攻擊者已經控制了運行不受支持的AIX操作系統版本的銀行應用程序伺服器，超出了其Service Pack支持日期的最後期限。

IoC

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！