賽門鐵克:發現朝鮮APT組織Lazarus攻擊金融機構的關鍵性工具
10月2日,美國國土安全部(DHS)下屬的US-CERT發表了 ofollow,noindex" target="_blank">一則針對朝鮮APT組織Lazarus(Hidden Cobra)的技術性預警公告 ,公告指出,在DHS、DoT(財政部)和FBI的共同努力下,發現了Lazarus用於在全球實施ATM網路犯罪的惡意軟體樣本和多個威脅指標(IOC/">IOCs),DHS把Lazarus組織的該系列惡意網路犯罪命名為“FASTCash”攻擊。10月8日,安全公司賽門鐵克(Symantc)發表報告聲稱,已經發現了Lazarus組織用於“FASTCash”攻擊的關鍵性工具。
自2014年以來,Lazarus在全球多個國家實施了多起網路犯罪,入侵索尼公司、攻擊韓國金融媒體機構、竊取孟加拉央行8100萬美元、攻擊美國國防承包商和比特幣交易所、發起WannaCry勒索攻擊。DHS透露,根據美國政府的可信合作伙伴評估,Lazarus僅針對金融機構的“FASTCash”攻擊竊取金額就達數千萬美元。
賽門鐵克 的發現
賽門鐵克研究人員透露,Lazarus組織在開展FASTCash攻擊時,首先會找點入侵目標銀行的網路,接著滲透進入負責ATM交易的交換應用伺服器,最終在這些伺服器上部署一些此前我們從未識別的惡意軟體 – (Trojan.Fastcash) 。之後,Lazarus攻擊人員會發起欺詐性的現金提取請求,其部署的惡意軟體則負責請求攔截監聽,並會向負責ATM交易的交換應用伺服器返回假冒的請求響應,以此實現對ATM系統的現金竊取。
根據US-CERT的預警公告反應,Lazarus於2017年發起了一起攻擊事件,其分別從全球30多個不同國家的ATM機系統中同時提取轉移了大量現金。同樣的攻擊也在2018年發生過,這一次,Lazarus從23個不同國家的ATM機系統中竊取了大量現金。
Lazarus開展FASTCash攻擊的具體流程
為了實現從ATM機系統中欺詐性的轉移現金,Lazarus攻擊者具體的做法是,在負責ATM交易的交換應用伺服器中,向某個執行的合法程序注入一個高階互動執行程式(Advanced Interactive eXecutive, AIX),這個惡意的AIX程式包含了構造假冒ISO 8583訊息報文的邏輯(ISO8583金融交易報文是銀行業和金融服務業常用的資料訊息格式,常用於終端交易裝置中)。Lazarus這種假冒ISO 8583訊息報文的技術此前未曾被發現過,通常的認為是Lazarus通過使用指令碼來控制伺服器實現轉賬交易欺騙。
ISO8583金融交易報文:是銀行業和金融服務業常用的 ISO 標準,該標準指定了一個訊息格式,裝置和髮卡行之間可以使用該訊息格式來交換信用卡資料和借記卡資料,該標準通常為銷售點裝置和自動取款機所採用。訊息本身通常包含有關交易金額、交易發起位置、卡的帳號以及銀行分類程式碼的資訊。接收資料的應用程式可以有多種用途,例如在多個銀行帳戶之間轉移資金、支付賬單或手機充值。
賽門鐵克及時發現了這種注入到ATM交易應用伺服器中的惡意軟體,並把它命名為 Trojan.Fastcash ,實質上它屬於木馬類惡意程式,且包含了兩個主要功能:
1、監視傳入伺服器的訊息,並在請求到達交易伺服器之前,攔截攻擊者生成的欺詐性交易請求 2、為了形成欺詐性交易請求,其中包含了生成一個假冒響應的程式邏輯
賽門鐵克 對 FASTCash攻擊 的 發現 樣本
一旦 Trojan.Fastcash 被成功部署在負責ATM交易的應用伺服器中,其將會讀取所有傳入伺服器的網路流量,並掃描流量中包含的 ISO 8583報文請求,而且它還會探測流量訊息中,攻擊者用來執行交易的銀行主賬戶號(Primary Account Number,PAN),如果有銀行主賬戶號出現,Trojan.Fastcash就會嘗試修改涉及該賬戶號的訊息。
Lazarus會根據不同的金融機構目標,實行不同的賬戶號訊息修改方法,如果訊息修改成功,Trojan.Fastcash會針對向ATM應用伺服器發起的欺詐請求,返回一條假冒的現金轉賬批准響應,最終,Lazarus的轉賬申請就會被ATM應用伺服器放行,從而成功實施了現金轉賬。
經分析,以下是Trojan.Fastcash用來生成假冒批准響應的一個程式邏輯。這個特殊樣本會根據攻擊者傳入的欺詐請求,構造以下不同三個假冒響應之一。
當ISO8583報文訊息的型別標識 == 200,也就是ATM發生交易行為,和POS機型磁條卡的服務點輸入方式碼從90開始時,Trojan.Fastcash有以下程式邏輯:
If Processing Code starts with 3 (Balance Inquiry): Response Code = 00 (Approved) Otherwise, if the Primary Account Number is Blacklisted by Attackers(否則,如果攻擊者將主帳號列入黑名單): Response Code = 55 (Invalid PIN) All other Processing Codes (with non-blacklisted PANs): Response Code = 00 (Approved)
在這種情況下,攻擊者似乎內建了根據他們自己設定的黑名單賬戶號有選擇性地進行轉賬交易,但是,該功能在這樣本中並沒有成功實現,其黑名單檢查機制總是返回“False”。
賽門鐵克發現了和Trojan.Fastcash相關的幾種不同特洛伊木馬變種,且每種都使用了不同的響應邏輯,賽門鐵克認為這些變種都是針對不同金融機構的特定交易處理網路而定製的,因此其具備的響應邏輯有所不同。
另外,被Lazarus組織用於FASTCash攻擊的銀行主賬戶號(PAN)都是真實存在的,根據US-CERT的預警公告,這些被攻擊者用來發起交易的賬戶號不太活躍或是零餘額狀態,而攻擊者控制這些賬戶號的方法也暫不清楚,可能是攻擊者的自行開卡,也可能是其它攻擊活動中竊取的賬戶。
截至目前,在所有對FASTCash攻擊的報告中,都提到了由於銀行應用伺服器的AIX作業系統更新不及時,存在漏洞,導致被攻擊者入侵的說法。
Lazarus對金融機構的持續威脅
最近的FASTCash攻擊表明,對金融機構的攻擊不是Lazarus的一時興起,很有可能是其長期的主要活動。如同2016年的對孟加拉國央行的現金轉移案一樣,FASTCash攻擊反映了Lazarus對銀行系統和交易處理協議有著深入的研究理解,並且能發現存在漏洞的銀行網路,併成功從中竊取轉移現金,作案手法相當專業。
總之,Lazarus會持續對金融部門造成嚴重威脅,相關單位和部門應採取必要措施,確保其支付系統及時更新並處於安全狀態。
防護建議
1、及時更新作業系統和相關應用軟體; 2、關注並更新近期容易被攻擊者利用的應用軟體漏洞; 3、及時更新應用服務中涉及的AIX作業系統。
IoC
D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector) CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL) 10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL) 3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)
*參考來源: symantec ,clouds編譯,轉載請註明來自FreeBuf.COM