原标题:侦九揭露一银ATM骇客入侵內网关键,窃取密码2套手法曝光
今年七月份第一银行爆发ATM盗领案,跨国网路犯罪集团的骇客锁定台湾的41台ATM,并执行远端遥控吐钞,第一银行在短短几个小时内被盗领8千3百多万元台币。第一时间协助鉴识分析的刑事警察局第九大队,其科技研发科数位证据股股长陈诘昌,在台湾骇客年会HITCON Pacific上报告了侦查的过程,剖析事件前后的日誌档(Log Analysis)、逆向工程(Reverse Engineering)以及数位鉴识(Digital Forensics)的结果。更重要的是,第九大队比对了资安研究公司Group-IB所释出的国际ATM骇客集团的报告,发现一银骇客的手法与Buhtrap、Cobalt骇客集团在欧洲和亚洲的犯案手法高度类似。陈诘昌更透露,骇客能够在银行内网来去自如,就是因为2个取得帐密的关键方法。
第一银行的ATM盗领事件发生后,台湾在短短10天内就宣布破案,逮捕3名在台的外籍洗钱嫌犯后,也顺利追回大部分款项。台北地方法院检察官9月13日公布的起诉书指出,骇客如何将第一银行在伦敦分行的电话录音主机做为跳板,骇入内网后,更一路建立具有管理权限的帐号,将33个DMS封装档档案利用应用程式恶意程式派送到受骇的ATM设备。并且,因为管理者帐号已经提高到具有Telnet连网权限,之后便启动FTP功能,到NCR下载恶意程式「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」和批次档「cleanup.bat」,并且在犯案后,执行「cleanup.bat」把犯案记录「displog.txt」清除,彻底灭证。
而陈诘昌指出,在2015年8月到今年2月份,成功犯下13起银行内网攻击的俄罗斯集团Buhtrap,在部分成员遭到逮捕后,该组织部分的核心成员另组成Cobalt集团。Cobalt集团将攻击版图扩展到欧洲与亚洲,包含英国、荷兰以及马来西亚等14个国家的ATM系统。2个骇客集团的犯案手法相似,不过Cobalt集团在欧洲主要针对NCR主机进行攻击。陈诘昌表示,经过比对资安研究公司Group-IB所释出对上述2集团的研究报告后,发现这2个国际集团的犯罪手法与一银盗领案的骇客手法十分雷同。
首先, 犯案的程式特徵都有限定日期。iThome曾报导一银ATM盗领恶意程式会指定在7月发作,逾期就会失效,对恶意程式来说,限定日期发作的功能很少见,在一银ATM盗领案中发现的4支恶意程式,都只在今年7月份执行才有效。而Cobalt集团集团则是限定在5月份。
再则,吐钞程式设定的参数也十分类似,包括钞匣数限制、出钞张数限制,其参数设定几乎相同。
另一个关键特徵则是,犯案过程会产生一个程式漏洞,就是留下记录档(disp.txt),用来记录吐钞资讯,并提供给成员作为核对使用,跟一银ATM盗领案留下的「cngdisp.txt」相同。他也指出集团与一银骇客的灭证工具也相同,都是使用SDELETE进行灭证。
银行内网来去自如?骇客获取密码的关键最后,陈诘昌根据Group-IB报告,点出骇客如何取得管理者密码,也是骇客在内网来去自如的关键。他表示,主要有两种方式,一个是Windows 2008即开始有的功能:Group Policy Preference(群组原则设定),这个功能让管理者可以用各种不同的原则进行系统及应用配置,例如新增网路磁碟、网路内电脑新增帐号等。
骇客利用群组原则设定功能,在Domain Controller主机下都存在着groups.xml的档案,而同一个网域下的每台电脑都可以读取这个groups.xml。当获取该档案后,就可以看到经过AES 256位元加密后的密码。「所以你既然有金钥,有加密的结果,你就可以解密,取得管理者的密码。」陈诘昌说。
另外,如果是个人电脑,他指出,可以透过MiMiKatz渗透工具来获取密码。例如,这次骇客在ATM上执行MiMiKatz程式,就可以在具管理者权限下,解析存在记忆体中的管理者密码。
不过,陈诘昌表示,在一银案中,可以看到86.exe的档案执行结果,确实也是用MiMiKatz工具来解析记忆体内的资料,但是并非用来取得密码,「可以看到,他们是在进行捕捉Terminal Server的服务,让多个使用者同时去做telnet的事情。」
相关:
天才骇客Lokihardt领军韩国队HITCON CTF夺冠,率先取得DEFCON种子赛资格
由韩国天才骇客Lokihardt(图右一)领军的Cykorkinesis获得HITCON CTF决赛冠军,也率先成为2017年DEF CON CTF种子赛事队伍。 图片来源: iThome 为期两天的HITCON CTF抢旗攻防赛决赛结果出炉,由韩国天才骇客Lokiha
台中市警方今天宣布侦破新兴诈骗手法,诈骗集团在网络上利用交流或贩售相机,要求被害人汇款到银行虚拟帐号,或透过电子支付平台完成交易,再经平台转到人头帐户。台中市警察局刑事警察大队侦查第七队于11月28日下午
社报道,两位获悉调查情况的人士透露,伊朗政府支持的黑客过去两周向沙特阿拉伯政府的关键部门投放了一枚数字炸弹,导致沙特央行即沙特金融管理局的电脑...社报道,两位获悉调查情况的人士透露,伊朗政府支持的黑客过去两
美欧31国联手破获全球网络犯罪集团Avalanche,台湾也有参与(內有完整攻击手法示意图)
图片来源: EUROPOL 美国司法部(DOJ)、欧洲刑警组织(Europol)、德国警方、英国国家打击犯罪调查局(NCA)于本周四(12/1)宣布,已在超过31个国家的支援下联手破获专门攻击网路银行的全球网路犯罪集团「雪崩」(A
恶意程式“雪崩”危害全球,包括我国调查局在內,共三十一个国家派员在荷兰海牙欧洲刑警组织成立专案小组,前天在全球同步执行收网,共逮获五名外籍人士,搜索三十七个处所,扣押伺服主机三十九部,强制离线伺服主机