国产精品久av福利在线观看_亚洲一区国产精品_亚洲黄色一区二区三区_欧美成人xxxx_国产精品www_xxxxx欧美_国产精品久久婷婷六月丁香_国产特级毛片

 2018年10月2日，US-CERT、國土安全部、財政部和聯(lián)邦調(diào)查局發(fā)出警報。根據(jù)這一最新警告是，Hidden Cobra（美國政府對Lazarus的稱呼）一直在進行FASTCash攻擊，2016年起就開始從亞洲和非洲的銀行竊取自動柜員機（ATM）的資金。
Lazarus是一個非�；钴S的攻擊組織，涉及網(wǎng)絡(luò)犯罪和間諜活動。該組織最初以其間諜活動和一些備受矚目的破壞性攻擊而聞名，包括2014年對索尼公司的攻擊。最近，Lazarus也參與了出于經(jīng)濟動機的攻擊，其中包括來自孟加拉國中央銀行的8100萬美元盜竊案和WannaCry勒索軟件。
根據(jù)US-CERT的報告，賽門鐵克研究發(fā)現(xiàn)了該組織在近期金融攻擊浪潮中使用的關(guān)鍵組件。這項名為“FASTCash”的行動使Lazarus欺騙性的清空了自動取款機中的現(xiàn)金。為了進行欺詐性提款，Lazarus首先入侵了目標銀行的網(wǎng)絡(luò)并控制了處理ATM交易的交換機應用服務器。
一旦這些服務器遭到入侵，就會被部署之前未知的惡意軟件（Trojan.Fastcash）。該惡意軟件反過來攔截欺詐性的Lazarus現(xiàn)金提取請求并發(fā)送虛假的批準回復，允許攻擊者從ATM竊取現(xiàn)金。
根據(jù)美國政府的警告，2017年發(fā)生的一起事件中，Lazarus從30多個國家的ATM機同時提取現(xiàn)金。在2018年的另一起重大事件中，盜取的現(xiàn)金來自23個不同國家的自動取款機。到目前為止，Lazarus FASTCash估計已經(jīng)盜取了數(shù)千萬美元。

一、FASTCash攻擊細節(jié)
為了允許從ATM進行欺騙性提款，攻擊者將惡意的高級交互式執(zhí)行（AIX）可執(zhí)行文件注入到金融交易網(wǎng)絡(luò)交換機應用服務器上正在運行的合法進程中，在此情況下是處理ATM交易的網(wǎng)絡(luò)。惡意可執(zhí)行文件包含構(gòu)造欺詐性ISO 8583消息的邏輯，ISO 8583是金融交易消息傳遞的標準。之前沒有記錄反映此可執(zhí)行文件的用途。之前一直認為攻擊者使用腳本來操縱服務器上的合法軟件來準許欺詐活動。
但是，賽門鐵克的分析發(fā)現(xiàn)，這個可執(zhí)行文件實際上是惡意軟件，我們將其命名為Trojan.Fastcash。Trojan.Fastcash有兩個主要功能：
1.監(jiān)視傳入的消息并攔截攻擊者生成的欺詐性事務請求，以阻止它們到達處理事務的交換機應用程序。
2.包含生成欺詐性交易請求響應的邏輯，該邏輯視情生成三個響應之一。
一旦安裝在服務器上，Trojan.Fastcash將讀取所有傳入的網(wǎng)絡(luò)流量，掃描傳入的ISO 8583請求消息。它將讀取所有消息的主帳號（PAN），如果發(fā)現(xiàn)包含攻擊者使用的PAN號，惡意軟件將嘗試修改這些消息。如何修改消息取決于受害機構(gòu)。然后，它將發(fā)送批準欺詐性提款請求的虛假響應消息。結(jié)果是，Lazarus攻擊者通過自動取款機取款的嘗試獲得批準。
以下是Trojan.Fastcash用于生成虛假響應的響應邏輯的一個示例。此特定示例的邏輯基于傳入的攻擊者請求構(gòu)建三個虛假響應之一：
對于消息類型指示符== 200（ATM交易）和以90開始的服務點進入模式（僅限磁條）：
· 如果處理代碼以3開始（余額查詢）：響應代碼= 00（已批準）
· 否則，如果主要帳號被攻擊者列入黑名單：響應代碼= 55（無效的PIN）
· 所有其他處理代碼（使用非黑名單的PAN）：響應代碼= 00（已批準）
在這種情況下，攻擊者似乎已經(jīng)具備了根據(jù)自己的帳號黑名單，有選擇的拒絕交易的能力。但是，此示例中未實現(xiàn)此功能，并且檢查黑名單始終返回“False”。
賽門鐵克發(fā)現(xiàn)了幾種不同的Trojan.Fastcash變體，每種變體都使用不同的響應邏輯。我們相信每個變體都是針對特定的事務處理網(wǎng)絡(luò)量身定制的，因此具有自己的定制響應邏輯。
用于執(zhí)行FASTCash攻擊的PAN與真實賬戶有關(guān)。根據(jù)US-CERT報告，用于啟動交易的大多數(shù)賬戶都有最小的賬戶余額或零余額。攻擊者如何控制這些帳戶仍不清楚。攻擊者可能會自己打開帳戶并使用相應的銀行卡提出取款請求。另一種可能性是攻擊者使用被盜卡進行攻擊。
在迄今為止報告的所有FASTCash攻擊中，攻擊者已經(jīng)控制了運行不再受支持的AIX操作系統(tǒng)版本的銀行應用程序服務器，其版本超出了Service Pack支持日期的最后期限。
二、Lazarus介紹
Lazarus是一個非�；钴S的組織，涉及網(wǎng)絡(luò)犯罪和間諜活動。Lazarus最初以參與間諜活動和一些備受矚目的破壞性攻擊而聞名，其中包括2014年對索尼電影公司的攻擊，該攻擊中大量信息被盜、計算機數(shù)據(jù)被惡意軟件清除。
近年來，Lazarus也參與了有經(jīng)濟動機的攻擊。該組織與2016年孟加拉國中央銀行的8100萬美元盜竊案以及其他一些銀行搶劫案有關(guān)。
Lazarus還與2017年5月的WannaCry勒索軟件爆發(fā)有關(guān)。WannaCry合并了NSA泄漏的“EternalBlue”利用，使用Windows中的兩個已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟件變成蠕蟲，擴散到受害者網(wǎng)絡(luò)上沒有打補丁的計算機以及連接到互聯(lián)網(wǎng)的其他易受攻擊的計算機上。在發(fā)布后的幾個小時內(nèi)，WannaCry就感染了全球數(shù)十萬臺計算機。
三、對金融部門的持續(xù)攻擊
最近的FASTCash攻擊浪潮表明，出于經(jīng)濟動機的攻擊不僅僅是Lazarus組織的過往興趣，現(xiàn)在可以被視為其核心活動之一。
與2016年系列虛擬銀行搶劫案（包括孟加拉國銀行搶劫案）一樣，F(xiàn)ASTCash表明，Lazarus擁有對銀行系統(tǒng)和交易處理協(xié)議的深入了解，并具備利用這些知識從竊取銀行竊取大量資金的專業(yè)知識。
簡而言之，Lazarus繼續(xù)對金融部門構(gòu)成嚴重威脅，金融機構(gòu)應采取一切必要措施，確保其支付系統(tǒng)完全及時更新。
四、緩解措施
金融機構(gòu)應確保操作系統(tǒng)和所有其他軟件是最新的。軟件更新通常會包含可能被攻擊者利用的新發(fā)現(xiàn)的安全漏洞的補丁。在迄今為止報告的所有FASTCash攻擊中，攻擊者已經(jīng)控制了運行不受支持的AIX操作系統(tǒng)版本的銀行應用程序服務器，超出了其Service Pack支持日期的最后期限。
IoC
D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)
CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)
10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)
3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)