表面厂家
免费服务热线

Free service

hotline

010-00000000
表面厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

当赛门铁克近期调研揭秘Lazarus网络罪

发布时间:2021-09-10 13:21:59 阅读: 来源:表面厂家

赛门铁克近期调研揭秘 Lazarus 络罪犯组织的攻击手段

赛门铁克近期调研揭秘 Lazarus 络罪犯组织的攻击手段

--Lazarus罪犯组织通过FASTCash攻击从ATM设备盗走百万现金

16:05:04作者:来源:CTI论坛评论:0 点击:

今年11月15日,美国计算机应急响应小组、美国国土安全部、美国财政部及用于容纳温度丈量装置美国联邦调查局共同发布警告称,Hidden Cobra(美国政府对 Lazarus 使用的代号)从 2016 年开始就持续进行 FASTCash 攻击,从亚洲和非洲银行的自动取款机中盗取大量现金。

Lazarus组织是一个活跃在络犯罪和间谍活动中的犯罪攻击组织。该组织由于实施间谍活动和严重破坏性攻击被公众知晓,例如2014年对索尼影业发起的攻击。近年来,Lazarus 还参与多个以牟利为动机的络攻击,包括2016年从孟加拉国中央银行盗走8,100万美元的惊天劫案以及WannaCry勒索软件攻击事件。WannaCry 利用 永恒之蓝 漏洞(Windows CVE- 和0CVE- )将勒索软件变为蠕虫病毒,扩散传播到络上未打补丁的电脑以及其他连接到该络电脑中。在在扩散后的短短几小时内,全球高达数万台电脑被感染。

近期,赛门铁克发布调研,揭露该组织发起金融攻击所用的主要工具。在针对ATM设备的 FASTCash 攻击中,Lazarus首先侵入目标银行的络和处理ATM交易的切换应用服务器,在服务器被入侵后,攻击者立即植入恶意软件(stcash )。随后,该恶意软件拦截Lazarus的取款请求,并发送伪造的批准响应,使攻击者盗走 ATM 中的现金。

根据美国政府的警告,在2017年的一次攻击中,30 多个国家/地区的ATM设备同时被攻击。201可以焊接由热塑性碳纤维增强塑料制成的压力圆顶8年,在Lazarus发起的另一次重大攻击事件中, 23个国家/地区的ATM设备被攻击。据估计,到目前为止,Lazarus组织发起的FASTCash攻击所造成的被盗金额已经高达数千万美元。

FASTCash攻击的详细运作手段

为了让ATM设备批准取款请求,攻击者将恶意高级交互执行程序(AIX)可执行文件植入运行合法进程的金融交易ATM络切换应用服务器中,该恶意可执行文件包括构建ISO 8583虚假消息的逻辑 -- ISO 8583是发送金融交易消息的标准。此前,调研人员认为,攻击者利用恶意脚本操控服务器上合法软件,以实施攻击。

根据赛门铁克的分析,该执行文件为恶意软件,被称为stcash。stcash有两个主要功能:

监控收到的消息,并拦截攻击者生成的虚假交易请求,以阻止它们到达处理交易的切换应用;

包含对虚假交易请求生成虚假响应的逻辑。

当stcash被安装到服务器上后,该恶意软件将立即读取所有入站络流量,扫描收到的 ISO 8583 请求消息。然后,该恶意软件将获取所有消息上的账号 (PAN),如发现任何包含攻击者所使用的 PAN 账号中的消息类型指示(MTI)为 0x100 Authorization Request from Acquirer ,它将阻止消息进一步传输,并发送一条虚假的响应消息,让服务器批准取款请求,致使Lazarus 攻击者获得对ATM取款的请求。

stcash用来生成虚假响应所使用的逻辑示例:包含收到攻击者请求生成虚假响应 (共三个响应的其中之一)。

If (Processing Code == 010000):

Response code = 51

If (Processing Code == 300000):

Respo经减速系统减速后通过精密丝杠副带横梁上升、降落nse code = 00

Amount = Randomly computed number

All other Processing Codes:

Response code = 51

赛门铁克的调研人员发现, stcash拥有几个不同的变体,且每一个变体都使用不同的响应逻辑。至于为何使用不同的响应逻辑,具体原因目前尚不清楚。赛门铁克猜测,背后原因可能是每一个变体可对应一家银行。

到目前为止,在所有FASTCash攻击中,攻击者都是在操作系统服务包支持日期到期之后,破坏运行不受支持的AIX操作系统版本的银行应用服务器。

赛门铁克调查总结

近年发生的一系列FASTCash攻击事件表明,Lazarus攻击组织所发起的以牟利为由的攻击并非是短期作案,而是其核心活动之一。 从2016年发生的一系列虚拟银行攻击事件来看,Lazarus组织。在FASTCash攻击中非常熟悉银行系统和交易处理协议,能够轻易地运用这些知识从易受攻击的银行中盗取巨额现金。 可以说,Lazarus组织仍旧是银行安全所面临的重大威胁。

赛门铁克防护

赛门铁克提供以下防护解决方案,保护客户免遭 Lazarus FASTCash的威胁:

s应及时将空气排除tcash

感染指标

DC063F4A82D799A4E40FFF24EA18BC23C3B27EE (stcash Injector)

CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (stcash DLL)

10AC312C8DD02E417DD24D53C99525C29D74DCBCAD7A4E0A4B1A0EBA (stcash DLL)

3A5BA44FDE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (stcash DLL)

关于赛门铁克

赛门铁克公司(纳斯达克:SYMC)是全球领先的络安全企业,旨在帮助企业、个人和政府机构保护无处不在的重要数据安全。全球企业都青睐选用赛门铁克的战略性集成式解决方案,以抵御端点、云和基础设施上的复杂攻击。同时,全球超过5,000万个人和家庭依靠赛门铁克Norton和LifeLock产品套件保护家庭数字生活和个人设备。赛门铁克运行着全球最大的民用互联情报络之一,能够及时发现并抵御最高级的威胁。赛门铁克运营着全球规模领先的威胁情报络,能够及时发现和抵御最高级威胁。

九江西服订制
九江西服订做
九江西服定制
九江西服定做