卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)了一種名為“ATMitch”的新型無(wú)文件ATM惡意軟件，該惡意軟件可讓攻擊者非法取款，然后可自行刪除記錄。那么，卡巴斯基是如何發(fā)現(xiàn)這個(gè)ATMitch惡意軟件？攻擊者如何分發(fā)它？

Nick Lewis：與一般使用系統(tǒng)相比，高安全性環(huán)境通常執(zhí)行更嚴(yán)格的安全要求。另外，即使在不同類(lèi)型的高安全環(huán)境（例如銀行環(huán)境），基于設(shè)備功能也需要不同級(jí)別的安全性。銀行的標(biāo)準(zhǔn)臺(tái)式電腦必須安全，同時(shí)還需要提供一般功能以確保日常員工使用。

另一方面，ATM功能應(yīng)該限于ATM任務(wù)，例如提款或者存款，并只能通過(guò)有限的ATM接口訪問(wèn)。同時(shí)，銀行可通過(guò)限制ATM接口可提供的功能來(lái)最大限度降低ATM這部分攻擊面。

ATM接口是ATM安全性最明顯的方面，ATM需要多級(jí)別安全來(lái)抵御物理和網(wǎng)絡(luò)攻擊。物理安全通常受成本限制，而網(wǎng)絡(luò)安全也受成本限制，并需要遠(yuǎn)程管理。

卡巴斯基實(shí)驗(yàn)室主要安全研究人員Sergey Golovanov和Igor Soumenkov介紹了利用ATMitch惡意軟件的ATM攻擊。這種攻擊使用的方法似乎與高級(jí)持續(xù)威脅攻擊團(tuán)伙GCMAN和Carbanak使用的方法相似。

當(dāng)卡巴斯基實(shí)驗(yàn)室被銀行業(yè)客戶要求調(diào)查惡意軟件時(shí)，卡巴斯基發(fā)現(xiàn)了這個(gè)ATMitch惡意軟件。這個(gè)過(guò)程本應(yīng)該很簡(jiǎn)單，即通過(guò)端點(diǎn)保護(hù)軟件提交潛在可疑二進(jìn)制文件樣本，以查看該供應(yīng)商檢測(cè)到任何惡意軟件，或者銀行應(yīng)該聯(lián)系卡巴斯基要求進(jìn)行額外的分析。

卡巴斯基描述稱(chēng)，ATMitch惡意軟件攻擊的第一階段需要獲取銀行系統(tǒng)的訪問(wèn)權(quán)限，然后使用開(kāi)源或其他公開(kāi)可用的公用程序來(lái)控制系統(tǒng)以及攻擊其他ATM。由于它在內(nèi)存中運(yùn)行，這種無(wú)文件惡意軟件會(huì)在受感染系統(tǒng)重啟后消失。

卡巴斯基報(bào)道稱(chēng)這個(gè)攻擊中還涉及一臺(tái)域控制器，這可能是攻擊者用來(lái)分發(fā)惡意軟件到目標(biāo)ATM的部分方法，盡管他們還報(bào)告稱(chēng)攻擊者通常會(huì)物理攻擊ATM，在設(shè)備鉆孔以執(zhí)行所需的命令來(lái)激活A(yù)TMitch惡意軟件并提取現(xiàn)金。

目前尚不清楚域控制器僅限于管理ATM還是用于整個(gè)銀行，但銀行似乎有完全獨(dú)立的管理基礎(chǔ)設(shè)施來(lái)管理ATM以及一般使用端點(diǎn)。也許可關(guān)聯(lián)不同環(huán)境之間的日志來(lái)檢測(cè)任何可疑行為，但對(duì)ATM的遠(yuǎn)程訪問(wèn)似乎應(yīng)該比一般使用端點(diǎn)更受限制。