Компания Trend Micro обнаружила новое семейство вредоносных программ для банкоматов под названием Alice, которое является наиболее урезанным семейством вредоносных программ для банкоматов, с которыми мы когда-либо сталкивались. Алисой нельзя управлять с помощью цифровой клавиатуры банкоматов; у него также нет функций кражи информации.
Компания Trend Micro обнаружила новое семейство вредоносных программ для банкоматов под названием Alice, которое является наиболее урезанным семейством вредоносных программ для банкоматов, с которым мы когда-либо сталкивались. В отличие от других семейств вредоносных программ для банкоматов, Алисой нельзя управлять с помощью цифровой клавиатуры банкоматов; и у него нет функций кражи информации. Он предназначен исключительно для опорожнения сейфов банкоматов. Мы определяем это новое семейство вредоносных программ как BKDR_ALICE.A. Компания Trend Micro впервые обнаружила вредоносное ПО для банкоматов Alice в ноябре 2016 года в результате нашего совместного исследовательского проекта по вредоносному ПО для банкоматов с Europol EC3. Мы собрали список хешей, и файлы, соответствующие этим хешам, затем были извлечены из VirusTotal для дальнейшего анализа. Первоначально считалось, что один из этих двоичных файлов является новым вариантом вредоносного ПО для банкоматов Padpin. Однако после обратного анализа мы обнаружили, что это часть совершенно новой семьи, которую мы назвали Алисой.
Вредоносные программы для банкоматов существуют с 2007 года, но за последние девять лет мы узнали только о восьми уникальных семействах вредоносных программ для банкоматов, включая Алису. Это новое открытие примечательно тем, что оно показывает явную тенденцию авторов вредоносных программ атаковать постоянно увеличивающееся количество платформ. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств.
Технические подробности
Семейное имя «Алиса» было получено из информации о версии, встроенной во вредоносный двоичный файл:
Рисунок 1. Свойства файла образца Алисы
Судя по времени компиляции PE и датам отправки Virustotal, Алиса была в дикой природе, по крайней мере, с октября 2014 года. Образцы Алисы, которые мы обнаружили, были упакованы коммерческим, готовым упаковщиком/обфускатором под названием VMProtect. Это программное обеспечение проверяет, выполняется ли встроенный двоичный файл в отладчике, и отображает следующее сообщение об ошибке, если определяет, что это так:
Рисунок 2. Сообщение об ошибке.
Перед запуском какого-либо вредоносного кода Алиса проверяет, работает ли он в соответствующей среде XFS Extensions for Financial Services,чтобы убедиться, что он действительно работает на банкомате. Для этого он ищет следующие разделы реестра:
Если эти ключи реестра не существуют, вредоносная программа предполагает, что среда неправильная, и завершает работу. Алисе также требуется, чтобы в системе были установлены следующие библиотеки DLL:
В зависимости от того, была ли проверка XFS успешной или нет, Алиса отображает либо окно авторизации, либо стандартное окно сообщения об ошибке:
Рисунки 3 и 4. Окна сообщений после выполнения. Слева находится окно авторизации, которое появляется, если проверка XFS прошла успешно. Справа сообщение об ошибке, которое появляется, если проверка дает отрицательный результат.
При первом запуске Алиса создает в корневом каталоге пустой файл размером 5 МБ + с именем xfs_supp.sys и файл журнала ошибок с именем TRCERR.LOG . Первый файл заполняется нулями, и в него никогда не записываются никакие данные. Второй файл (TRCERR.LOG) - это файл журнала, который вредоносная программа использует для записи любых ошибок, возникающих во время выполнения. Все вызовы XFS API и соответствующие им сообщения / ошибки регистрируются. Этот файл не удаляется с машины во время удаления. Он остается в системе для устранения неполадок в будущем, или, возможно, автор вредоносной программы забыл очистить его. Алиса подключается к CurrencyDispenser1 периферийному устройству, которое является именем по умолчанию для диспенсера в среде XFS. Алиса не пытается подключиться к другому оборудованию, предназначенному для банкоматов; поэтому злоумышленники не могут отдавать какие-либо команды с помощью ПИН-клавиатуры. Алиса не завершает работу, если не может подключиться к CurrencyDispenser1, вместо этого она просто регистрирует ошибку. Ввод ПИН-кода, показанный на рисунке 4, позволяет отправлять команды вредоносной программе Alice. Можно ввести три команды:
Множественные ошибки при вводе правильного ПИН-кода приведут к отображению следующего окна и завершению работы вредоносной программы:
Рисунок 5. Сообщение об ошибке.
Когда будет введен правильный PIN-код, Алиса откроет «панель оператора». На этом экране показаны различные кассеты с деньгами, загруженные в автомат, которые злоумышленник может украсть на досуге. (В этом примере кассеты не показаны, поскольку мы запускали эту вредоносную программу в тестовой среде.)
Рисунок 6. Панель оператора.
Обратите внимание, что ввод «0» или «9» в качестве кассеты ID будет также причиной sd.bat будет запускать и xfs_supp.sys быть удалены. Когда денежный мул вводит номер кассеты на панели оператора, периферийному устройству CurrencyDispenser1 отправляется команда выдачи через WFSExecute API, и сохраненные наличные выдаются . Банкоматы обычно имеют ограничение на выдачу банкнот в 40 штук, поэтому денежному мулу может потребоваться повторить операцию несколько раз, чтобы выдать все наличные, хранящиеся в кассете. Сохраненные уровни наличных для каждой кассеты динамически обновляются на экране, поэтому денежный мул знает, насколько они близки к полному опустошению кассет. Алиса обычно встречается в зараженных системах как taskmgr.exe.. Хотя сама вредоносная программа не имеет метода сохранения, мы полагаем, что злоумышленники вручную заменяют диспетчер задач Windows на Алису. Любая команда, которая вызовет диспетчер задач, вместо этого вызовет Алису.
Выводы
В Алисе есть несколько отличительных черт. Он чрезвычайно функционально и, в отличие от других рассмотренных нами семейств вредоносных программ для банкоматов, включает только базовые функции, необходимые для успешного опустошения денежного сейфа банкомата. Он подключается только к CurrencyDispenser1периферийного устройства, и он никогда не пытается использовать PIN-код устройства. Логический вывод состоит в том, что преступникам, стоящим за Алисой, необходимо физически открыть банкомат и заразить машину через USB или CD-ROM, затем подключить клавиатуру к материнской плате машины и управлять вредоносной программой через нее. Еще одна возможность - открыть удаленный рабочий стол и управлять меню через сеть, как в случае хакерских атак в Таиланде и других недавних инцидентов. Однако мы не видели, чтобы Алиса использовалась таким образом. Наличие PIN-кода до выдачи денег предполагает, что Алиса используется только для личных атак. У Алисы также нет продуманного механизма установки или удаления - он работает просто путем запуска исполняемого файла в соответствующей среде.
Аутентификация пользователя Алисы аналогична другим семействам вредоносных программ для банкоматов. Денежные мулы, которые проводят атаки, получают от настоящих преступных группировок необходимый PIN-код. Первая команда, которую они вводят, сбрасывает скрипт очистки, а ввод индивидуального для машины PIN-кода позволяет им получить доступ к панели оператора для выдачи денег. Этот код доступа меняется между образцами, чтобы не дать мулам поделиться кодом и обойти преступную банду, чтобы отслеживать отдельных денежных мулов или и то, и другое. В наших примерах пароль состоит всего из 4 цифр, но его можно легко изменить. Попытки подбора пароля в конечном итоге приведут к тому, что вредоносная программа завершит свою работу, как только будет достигнут предел ввода PIN-кода. Учитывая тот факт, что Алиса ищет только среду XFS и не выполняет никаких дополнительных аппаратных проверок, мы полагаем, что это был разработан для работы с любыми поставщиками s оборудование, настроенное для использования промежуточного программного обеспечения Microsoft Extended Financial Services (XFS). Еще кое-что об использовании упаковщиков: Алиса использует коммерчески доступный упаковщик VMProtect, но он далеко не единственный. Мы нашли GreenDispenser с Themida, Ploutus с Phoenix Protector и другими. Упаковка затрудняет анализ и обратное проектирование. Обычные вредоносные программы используют эту технику в течение многих лет, а сегодня вредоносные программы используют специальные упаковщики.
Так почему же авторы вредоносных программ для банкоматов только сейчас открывают для себя методы упаковки и обфускации? До недавнего времени вредоносное ПО для банкоматов было нишевой категорией во вселенной вредоносных программ и использовалось горсткой преступных группировок целенаправленно. Сейчас мы находимся на этапе, когда вредоносное ПО для банкоматов становится массовым. Различные семейства вредоносных программ для банкоматов были тщательно проанализированы и обсуждены многими поставщиками средств безопасности, и теперь эти преступники начали осознавать необходимость скрывать свои творения от индустрии безопасности, чтобы избежать обнаружения и обнаружения. Сегодня они используют готовые коммерческие упаковщики; завтра мы ожидаем увидеть, что они начнут использовать специальные упаковщики и другие методы запутывания.
Дополнительные технические подробности и сравнение различных семейств вредоносных программ для банкоматов можно найти в этой документации (pdf).
Индикаторы взлома
Файлы, используемые в этом анализе, имеют следующие хэши SHA256:
Компания Trend Micro обнаружила новое семейство вредоносных программ для банкоматов под названием Alice, которое является наиболее урезанным семейством вредоносных программ для банкоматов, с которым мы когда-либо сталкивались. В отличие от других семейств вредоносных программ для банкоматов, Алисой нельзя управлять с помощью цифровой клавиатуры банкоматов; и у него нет функций кражи информации. Он предназначен исключительно для опорожнения сейфов банкоматов. Мы определяем это новое семейство вредоносных программ как BKDR_ALICE.A. Компания Trend Micro впервые обнаружила вредоносное ПО для банкоматов Alice в ноябре 2016 года в результате нашего совместного исследовательского проекта по вредоносному ПО для банкоматов с Europol EC3. Мы собрали список хешей, и файлы, соответствующие этим хешам, затем были извлечены из VirusTotal для дальнейшего анализа. Первоначально считалось, что один из этих двоичных файлов является новым вариантом вредоносного ПО для банкоматов Padpin. Однако после обратного анализа мы обнаружили, что это часть совершенно новой семьи, которую мы назвали Алисой.
Вредоносные программы для банкоматов существуют с 2007 года, но за последние девять лет мы узнали только о восьми уникальных семействах вредоносных программ для банкоматов, включая Алису. Это новое открытие примечательно тем, что оно показывает явную тенденцию авторов вредоносных программ атаковать постоянно увеличивающееся количество платформ. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств. Это особенно остро стоит в отношении банкоматов из-за высокой денежной стоимости, которую они представляют. Эта тенденция значительно усилилась за последние 2-3 года, когда была обнаружена большая часть этих семейств.
Технические подробности
Семейное имя «Алиса» было получено из информации о версии, встроенной во вредоносный двоичный файл:
Рисунок 1. Свойства файла образца Алисы
Судя по времени компиляции PE и датам отправки Virustotal, Алиса была в дикой природе, по крайней мере, с октября 2014 года. Образцы Алисы, которые мы обнаружили, были упакованы коммерческим, готовым упаковщиком/обфускатором под названием VMProtect. Это программное обеспечение проверяет, выполняется ли встроенный двоичный файл в отладчике, и отображает следующее сообщение об ошибке, если определяет, что это так:
Рисунок 2. Сообщение об ошибке.
Перед запуском какого-либо вредоносного кода Алиса проверяет, работает ли он в соответствующей среде XFS Extensions for Financial Services,чтобы убедиться, что он действительно работает на банкомате. Для этого он ищет следующие разделы реестра:
- HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ XFS
- HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ XFS \ TRCERR
Если эти ключи реестра не существуют, вредоносная программа предполагает, что среда неправильная, и завершает работу. Алисе также требуется, чтобы в системе были установлены следующие библиотеки DLL:
- MSXFS.dll
- XFS_CONF.dll
- XFS_SUPP.dll
В зависимости от того, была ли проверка XFS успешной или нет, Алиса отображает либо окно авторизации, либо стандартное окно сообщения об ошибке:
Рисунки 3 и 4. Окна сообщений после выполнения. Слева находится окно авторизации, которое появляется, если проверка XFS прошла успешно. Справа сообщение об ошибке, которое появляется, если проверка дает отрицательный результат.
При первом запуске Алиса создает в корневом каталоге пустой файл размером 5 МБ + с именем xfs_supp.sys и файл журнала ошибок с именем TRCERR.LOG . Первый файл заполняется нулями, и в него никогда не записываются никакие данные. Второй файл (TRCERR.LOG) - это файл журнала, который вредоносная программа использует для записи любых ошибок, возникающих во время выполнения. Все вызовы XFS API и соответствующие им сообщения / ошибки регистрируются. Этот файл не удаляется с машины во время удаления. Он остается в системе для устранения неполадок в будущем, или, возможно, автор вредоносной программы забыл очистить его. Алиса подключается к CurrencyDispenser1 периферийному устройству, которое является именем по умолчанию для диспенсера в среде XFS. Алиса не пытается подключиться к другому оборудованию, предназначенному для банкоматов; поэтому злоумышленники не могут отдавать какие-либо команды с помощью ПИН-клавиатуры. Алиса не завершает работу, если не может подключиться к CurrencyDispenser1, вместо этого она просто регистрирует ошибку. Ввод ПИН-кода, показанный на рисунке 4, позволяет отправлять команды вредоносной программе Alice. Можно ввести три команды:
| Пин-код | Описание команды |
| 1010100 | Расшифровывает и помещает файл sd.bat в текущий каталог. Этот командный файл используется для очистки / удаления Алисы. |
| 0 | Выходит из программы и запускает sd.bat. Также удаляет xfs_supp.sys . |
| конкретный 4-значный PIN-код на основе идентификатора терминала банкомата | Открывает «панель оператора». |
Множественные ошибки при вводе правильного ПИН-кода приведут к отображению следующего окна и завершению работы вредоносной программы:
Рисунок 5. Сообщение об ошибке.
Когда будет введен правильный PIN-код, Алиса откроет «панель оператора». На этом экране показаны различные кассеты с деньгами, загруженные в автомат, которые злоумышленник может украсть на досуге. (В этом примере кассеты не показаны, поскольку мы запускали эту вредоносную программу в тестовой среде.)
Рисунок 6. Панель оператора.
Обратите внимание, что ввод «0» или «9» в качестве кассеты ID будет также причиной sd.bat будет запускать и xfs_supp.sys быть удалены. Когда денежный мул вводит номер кассеты на панели оператора, периферийному устройству CurrencyDispenser1 отправляется команда выдачи через WFSExecute API, и сохраненные наличные выдаются . Банкоматы обычно имеют ограничение на выдачу банкнот в 40 штук, поэтому денежному мулу может потребоваться повторить операцию несколько раз, чтобы выдать все наличные, хранящиеся в кассете. Сохраненные уровни наличных для каждой кассеты динамически обновляются на экране, поэтому денежный мул знает, насколько они близки к полному опустошению кассет. Алиса обычно встречается в зараженных системах как taskmgr.exe.. Хотя сама вредоносная программа не имеет метода сохранения, мы полагаем, что злоумышленники вручную заменяют диспетчер задач Windows на Алису. Любая команда, которая вызовет диспетчер задач, вместо этого вызовет Алису.
Выводы
В Алисе есть несколько отличительных черт. Он чрезвычайно функционально и, в отличие от других рассмотренных нами семейств вредоносных программ для банкоматов, включает только базовые функции, необходимые для успешного опустошения денежного сейфа банкомата. Он подключается только к CurrencyDispenser1периферийного устройства, и он никогда не пытается использовать PIN-код устройства. Логический вывод состоит в том, что преступникам, стоящим за Алисой, необходимо физически открыть банкомат и заразить машину через USB или CD-ROM, затем подключить клавиатуру к материнской плате машины и управлять вредоносной программой через нее. Еще одна возможность - открыть удаленный рабочий стол и управлять меню через сеть, как в случае хакерских атак в Таиланде и других недавних инцидентов. Однако мы не видели, чтобы Алиса использовалась таким образом. Наличие PIN-кода до выдачи денег предполагает, что Алиса используется только для личных атак. У Алисы также нет продуманного механизма установки или удаления - он работает просто путем запуска исполняемого файла в соответствующей среде.
Аутентификация пользователя Алисы аналогична другим семействам вредоносных программ для банкоматов. Денежные мулы, которые проводят атаки, получают от настоящих преступных группировок необходимый PIN-код. Первая команда, которую они вводят, сбрасывает скрипт очистки, а ввод индивидуального для машины PIN-кода позволяет им получить доступ к панели оператора для выдачи денег. Этот код доступа меняется между образцами, чтобы не дать мулам поделиться кодом и обойти преступную банду, чтобы отслеживать отдельных денежных мулов или и то, и другое. В наших примерах пароль состоит всего из 4 цифр, но его можно легко изменить. Попытки подбора пароля в конечном итоге приведут к тому, что вредоносная программа завершит свою работу, как только будет достигнут предел ввода PIN-кода. Учитывая тот факт, что Алиса ищет только среду XFS и не выполняет никаких дополнительных аппаратных проверок, мы полагаем, что это был разработан для работы с любыми поставщиками s оборудование, настроенное для использования промежуточного программного обеспечения Microsoft Extended Financial Services (XFS). Еще кое-что об использовании упаковщиков: Алиса использует коммерчески доступный упаковщик VMProtect, но он далеко не единственный. Мы нашли GreenDispenser с Themida, Ploutus с Phoenix Protector и другими. Упаковка затрудняет анализ и обратное проектирование. Обычные вредоносные программы используют эту технику в течение многих лет, а сегодня вредоносные программы используют специальные упаковщики.
Так почему же авторы вредоносных программ для банкоматов только сейчас открывают для себя методы упаковки и обфускации? До недавнего времени вредоносное ПО для банкоматов было нишевой категорией во вселенной вредоносных программ и использовалось горсткой преступных группировок целенаправленно. Сейчас мы находимся на этапе, когда вредоносное ПО для банкоматов становится массовым. Различные семейства вредоносных программ для банкоматов были тщательно проанализированы и обсуждены многими поставщиками средств безопасности, и теперь эти преступники начали осознавать необходимость скрывать свои творения от индустрии безопасности, чтобы избежать обнаружения и обнаружения. Сегодня они используют готовые коммерческие упаковщики; завтра мы ожидаем увидеть, что они начнут использовать специальные упаковщики и другие методы запутывания.
Дополнительные технические подробности и сравнение различных семейств вредоносных программ для банкоматов можно найти в этой документации (pdf).
Индикаторы взлома
Файлы, используемые в этом анализе, имеют следующие хэши SHA256:
- 04F25013EB088D5E8A6E55BDB005C464123E6605897BD80AC245CE7CA12A7A70
- B8063F1323A4AE8846163CC6E84A3B8A80463B25B9FF35D70A1C497509D48539