原标题:《独家》调查局揭露:一银ATM盗领恶意程式指定在7月发作,逾期失效
调查局资安鉴识实验室在保全第一银行ATM盗领的数位证据中发现,这些恶意程式已经指定只在今年7月才能执行,预期失效。图为此次发生ATM盗领事件受骇分行之一的吉林分行。
图片来源:iThome
调查局从12日接获第一银行的报案后,包括资通安全处资安鉴识人员在内的调查局干员,便陆续到第一银行各家受害分行以及总行资讯处查扣相关的证物,希望能够在第一时间保存完整的数位证据。
在历经2天的鉴识分析后,调查局首度透漏,此次捉到的ATM盗领恶意程式中,非常少见的指定该恶意程式的有效执行期限为2016年7月,逾期该恶意程式将无法执行ATM盗领金钱的功能。调查局说:「这也是调查局资安鉴识实验室成立十年来,少见会指定发作月份的恶意程式。」
一银ATM盗领恶意程式有效期限,只限今年7月
调查局也表示,这次发现的4支恶意程式都是执行档,为了了解这些恶意程式的功能,鉴识人员透过反组译的方式,解析这四支恶意程式的功能。调查局指出,从解壳之后的恶意程式功能说明中才第一次发现,原来这几支恶意程式都有事先设定档案执行的日期,仅限2016年7月有效。一旦超过这个发作日期,该恶意程式就会失效。
在发现的恶意程式中,「cnginfo.exe」主要用来取得ATM相关资料,包括系统资讯、卡夹资讯,并可以测试开启吐钞开关夹,该恶意程式并无对外连线的功能。另外,像是「cngdisp.exe」及类似的变种恶意程式「cngdisp_new.exe」,主要的功能就是操作ATM吐钞程式,带入参数后,可以选择吐钞的卡夹槽(Slot)及吐钞张数;执行该恶意程式后,就可以吐出钞票,并且将该执行结果记录在「displog.txt」中,这个恶意程式,也同样没有对外连线的功能。至于「cleanup.bat」就是一个批次档的执行程式,主要的目的是要清除显示ATM相关资讯的「cnginfo.exe」和控制ATM吐钞功能的「cngdisp.exe」及「cngdisp_new.exe」。
不过,调查局也强调,利用反组译方式找到的另外一只程式「sdelete.exe」,其实是微软作业系统中内建的资料删除功能,这也显示出写这些恶意程式的作者相当聪明,对于微软作业系统的功能相当了解,直接选择使用微软内建的删除功能,并不用另外再写一个将所有轨迹删除的恶意程式。调查局并不愿意证实,这几个恶意程式究竟是从单一的执行档解析出来的,还是是从不同恶意程式反组译后看到的功能。
调查局指出,由于一银ATM盗领恶意程式会消除自己的迹证,这次可以发现这几支恶意程式,其实都是从漏网之鱼中才发现相关的轨迹。调查局表示,如果不是这些恶意程式的作者仍有疏漏之处,刚好让调查局资安鉴识成员发现,也很难只花不到一天的时间,就可以找到相关的恶意程式。
指定发作日期的恶意程式,韩国320事件就有先例
从调查局的鉴识结果发现,这只恶意程式会指定发作时间,也是台湾少数有类似功能的恶意程式。但是,从其他资安专家的分析认为,这些写恶意程式的黑帮对于这些执行领钱任务的车手们,应该也不信任,才会要求车手们必须在指定的期限内完成任务,「这也是为什幺俄罗斯车手们,会选择在7月7日入境台湾的原因。」资安专家说道。
其实,这种指定发作时间的恶意程式也非特例,在2013年3月20日在韩国首尔爆发的黑暗首尔(Dark Seoul)攻击事件中,带来的后遗症包括:韩国KBS电视台、MBC电视台、YTN电视台、新韩银行、农协银行和济州银行等共6家企业,超过48,700台电脑、伺服器与ATM伺服器陆续发生当机,包括硬碟开机磁区也损毁,无法重新提供服务,也有数千台ATM故障,网路银行与信用卡服务也受创。
从韩国政府发布的调查结果中也发现,这起黑暗首尔的攻击事件中,总共发现76支恶意程式,以分进合击的方式,设法入侵相关的受骇电脑中,因为功能不同,扮演的角色也不同。
主要的恶意程式功能可以分成四大类,分别是:用于清除电脑硬碟中资料的Wipe清除恶意程式;会下载Wipe程式来执行清除动作的Drop Wipe(下载与清除)恶意程式;不只是下载Wipe程式,还会入侵目标电脑上的网站,将官网首页内容替换成骇客宣示用或其他网页的Drop&Wipe Deface(下载、清除与网页置换)恶意程式;以及最后一种是用来在目标电脑中建立后门或植入远端遥控用的木马程式的Drop&Backdoor(下载与开后门)恶意程式;当然,其他还有少数未能分类到这四类的未知功能恶意程式。
资安专家表示,以黑暗首尔攻击事件的恶意程式为例,每个恶意程式都具备特定的功能,也有多支恶意程式具备类似功能,即便有某一支恶意程式不慎被发现,还有其他恶意程式可以相互掩盖行蹤、彼此接手扮演角色与任务。「这样的攻击手法,就跟分工精密的作战部队是一样的,当每一个恶意程式的功能越专精,恶意程式档案就越小,被各种防御机制发现的机会也越小。」资安专家说道,这或许为什幺,即便是资安防护等级较高的金融业,都很难发现这种攻击的原因之一。
调查局资安鉴识实验室成员超过200人
这次负责作数位证据保全和鉴识分析的调查局资安鉴识实验室,是台湾少数具有数位与犯罪鉴识实战经验的团队,调查局表示,目前资安鉴识相关成员已经超过200人,相关人员都分散在六都。一旦需要相关的资安鉴识时,六都都有在地成员可以协助,在总部实验室的20多人,只需要一、两位到各地支援办案即可。
调查局认为,资安鉴识实验成从2006年成立之初,只有6、7名成员,到现在发展成超过200人的团队,「十年有成」其实是调查局资安鉴识实验室的最佳写照。
?
相关:
图片来源: Citi 一个再简单不过的程式小错误,让花旗集团提供错误的交易报表给美国证管会(SEC)长达15年,遭罚款700万美元(约合新台币2.25亿元)。SEC近日公布关于花旗集团的行政处置报告,花旗集团在1999年5月至2014年
第一银行爆发ATM盗领案后,法务部调查局周二晚间发布新闻稿指出骇客植入两只工具程式,以控制ATM自动吐钞,今天(7/13)又有新发现,骇客利用删除工具以清除恶意程式,企图除掉植入的相关工具程式迹证。为调查第一银
报导:Tesla未向投资人揭露自驾车肇事意外,遭美国证交会调查
图片来源: Tesla 华尔街日报本周引述消息来源报导,美国电动车製造商Tesla因未向投资人揭露一辆该品牌的自动驾驶车在今年5月发生的死亡车祸而遭到美国证券交易委员会(SEC)的调查。这辆Model S是在启用自动驾驶模式
图片来源: 豌豆荚 中国Android程式市集「豌豆荚」上周宣布已被中国最大电子商务集团阿里巴巴所收购,双方并未公布交易金额,但外传收购价为2亿美元。根据资料分析机构TalkingData今年5月的统计,在拥有超过200个Andr
快更新!旧版小米MIUI存在远端执行恶意程式漏洞,影响数百万小米装置
(示意图) IBM旗下X-Force应用安全研究团队表示,在小米装置採用的Android装置韧体与软体套件MIUI中,发现远端执行程式码漏洞,小米已经发布更新程式,呼吁用户儘速更新。IBM X-Force团队发现,MIUI的漏洞能够让骇客