該新惡意軟件家族名為“艾麗絲”(Alice)，是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能，甚至不能通過ATM的數(shù)字小鍵盤進(jìn)行控制。

[[180041]]

雖然是在2016年才首次被發(fā)現(xiàn)，艾麗絲據(jù)信2014年左右便已出現(xiàn)，趨勢科技稱這僅僅是迄今為止的第8個ATM惡意軟件家族——雖然此類威脅早已在我們身邊長達(dá)9年多了。

艾麗絲需要能物理接觸到ATM機(jī)才能使用，趨勢科技認(rèn)為其設(shè)計(jì)目的是為了讓錢騾偷走被攻擊柜員機(jī)里所有現(xiàn)金。該功能在去年便被發(fā)現(xiàn)過，當(dāng)時的執(zhí)行軟件名為GreenDispenser。

但是，與老款不同，這一新威脅不連接ATM機(jī)的密碼輸入鍵盤，且能通過遠(yuǎn)程桌面協(xié)議運(yùn)作。雖然趨勢科技稱至今尚未發(fā)現(xiàn)此類用例。

惡意軟件分析發(fā)現(xiàn)：艾麗絲(該名字在惡意軟件二進(jìn)制文件的版本信息中有包含Alice字樣)采用了一款名為VMProtect的商用加殼/混淆器進(jìn)行打包，防止在調(diào)試器中被運(yùn)行。而且，該惡意軟件還會在運(yùn)行之前檢查自身環(huán)境，只要發(fā)現(xiàn)自己不是運(yùn)行在ATM機(jī)上就會終止進(jìn)程(主要檢查幾個注冊表鍵和系統(tǒng)上是否安裝有特定DLL)。

若運(yùn)行在ATM機(jī)上，艾麗絲會在根目錄寫入2個文件，5 MB+大小的空文件xfs_supp.sys，以及名為TRCERR.LOG的錯誤日志文件。然后，它會連上CurrencyDispenser1外設(shè)，也就是XFS環(huán)境中的吐鈔設(shè)備。只要輸入正確的密碼，CurrencyDispenser1就會顯示ATM機(jī)內(nèi)各個錢匣里所裝鈔票的信息。

由于該惡意軟件只連接CurrencyDispenser1外設(shè)，而不嘗試使用機(jī)器的密碼輸入鍵盤，研究人員認(rèn)為，攻擊者是物理打開ATM機(jī)并通過USB或光驅(qū)感染機(jī)器的。另外，攻擊者還將鍵盤連接到了ATM機(jī)的主板上，通過這個鍵盤來操作惡意軟件。

艾麗絲支持3個指令，每一個都通過特定PIN碼發(fā)送：其一是釋放卸載文件，另一個是推出程序并執(zhí)行卸載/清理操作，第三個則是打開“操作面板”。該面板就是ATM內(nèi)可用現(xiàn)金信息的展示板。

攻擊者只需輸入錢匣的ID便可讓ATM機(jī)吐光鈔票。吐鈔指令通過WFSExecute編程接口發(fā)送給CurrencyDispenser1外設(shè)。因?yàn)锳TM機(jī)通常會有吐鈔數(shù)量限制，攻擊者可能需要多次重復(fù)同樣的操作，才能清空ATM機(jī)里錢匣存放的所有鈔票。剩余可用現(xiàn)金的信息會動態(tài)顯示在屏幕上，攻擊者可據(jù)此知曉錢匣什么時候被清空。

趨勢科技認(rèn)為，攻擊者用艾麗絲手動替換了目標(biāo)ATM機(jī)上的Windows任務(wù)管理器，因?yàn)楸桓腥鞠到y(tǒng)上發(fā)現(xiàn)的該惡意軟件通常是以taskmgr.exe的形式存在的。該惡意軟件沒有長期駐留方法，但以任務(wù)管理器的形式運(yùn)行，意味著每次系統(tǒng)發(fā)出啟動任務(wù)管理器的指令，艾麗絲就會被啟動。

吐鈔前的PIN碼輸入操作，揭示出艾麗絲只能用于現(xiàn)場攻擊。它既沒有精心謀劃的安裝機(jī)制，也沒有縝密的卸載機(jī)制，就是通過在合適的環(huán)境中運(yùn)行可執(zhí)行文件來起效。

PIN驗(yàn)證系統(tǒng)與其他ATM惡意軟件家族使用的類似，但同時也給艾麗絲的作者提供了對其使用者的授權(quán)控制。通過修改各樣本的訪問碼，作者既能防止錢騾共享惡意軟件代碼，又能追蹤單個錢騾。

被分析的樣本使用了4位數(shù)字的口令，但其他樣本或許使用的是更長的PIN碼。該P(yáng)IN碼不能被暴力破解，因?yàn)榘惤z有輸入次數(shù)限制，超過次數(shù)就會自我了斷并顯示一條錯誤消息。研究人員還認(rèn)為，Alice可在任意使用了微軟擴(kuò)展金融服務(wù)中間件(XFS)的硬件上運(yùn)行。

直到最近，ATM惡意軟件在惡意軟件世界中都還是利基類別(注：利基是指某些空白的細(xì)分領(lǐng)域)，被一小撮犯罪團(tuán)伙以高度針對性的方式使用。但我們正處在ATM惡意軟件逐漸成為主流的節(jié)點(diǎn)上。