清空购物车不可怕，黑客想清空 ATM 机：来，乖乖吐钱

能力越大，作恶后果就越可怕。

说的当然不是爱剁手的女人，而是比清空购物车更可怕的清空 ATM 机。

两年前，卡巴斯基发现了一款新型恶意软件，可直接从 ATM 机上盗取资金，至少有 140 家银行和企业的网络被此类恶意软件感染。遭遇攻击的银行和企业分属40个不同国家，其中，美国、法国、肯尼亚、厄瓜多尔、英国的大兄弟受到的攻击最严重。

这种恶意软件有个牛气哄哄的背景：它从复杂的计算机蠕虫病毒 Stuxnet 衍生而来，之前，这个软件是由美国和以色列开发，用来攻击伊朗的核设施。

万万没想到，攻击核设施的恶意软件还能用来搞垮ATM，黑客为了挣钱，条条大路通罗马。黑客还挺狡猾，使用了常见的系统管理软件和安全软件伪装这款恶意软件，大大降低了它被发现的几率。

美国时间 10 月 11 日，外媒又报道，上次揪出了伪装的 ATM恶意软件，这次卡巴斯基又发现了一个新恶意软件，还给它取了个名字叫“ATMii”。意思很明白了：ATM 2.0 版本！

“ATMii”是个什么鬼

不过，卡巴斯基把这个发现捂在手里大半年才被媒体报道出来。

今年 4 月，卡巴斯基就发现了 ATMii 恶意软件，它会执行两个模块：注射器模块（exe.exe）和要注入的模块（dll.dll），从而从目标机器中偷钱。

这个恶意软件的安装很简单：直接物理访问或网络访问目标 ATM，安装恶意代码。

卡巴斯基拿到这个恶意软件的样本后进行了分析：注入器是不受保护的命令行应用程序，以 Visual C语言编写，还在上面搞了个四年前的假编译时间戳混淆视听。恶意代码适用于 Windows XP 以及更高版本的系统，而这些正是大部分 ATM 的运行系统。

同行相轻，黑客界也不例外。

卡巴斯基的研究员一边分析一边吐槽：针对atmapp.exe（专有ATM软件）进程的注入器写得相当烂，因为它取决于几个参数。如果没有给出来，应用程序就会捕获异常。

下面就是可能只有安全人员才看得懂的 blabla了：

支持的参数包括：

/ load，它试图将dll.dll注入atmapp.exe。

/ cmd，它创建或更新C：\ ATM \ c.ini文件，将命令和参数传递给受感染的库。

/ unload，它尝试从atmapp.exeprocess卸载注入的库，同时恢复其状态。

可用的命令允许分配所需数量的现金，检索有关ATM现金卡的信息，并从ATM中完全删除C：\ ATM \ c.ini文件。

注入DllMain函数后，dll.dll 库加载 msxfs.dll，并使用函数mWFSGetInfo替换WFSGetInfofunction。

注入的模块尝试找到 ATM 的 CASH_UNIT 服务 ID 并存储结果。

如果成功，所有连续的调用将重定向到mWFSGetInfofunction，该函数从C：\ ATM \ c.inifile中解析并执行命令。

卡巴斯基的研究人员提出了两个措施：默认拒绝和设备控制。

第一个措施可以防止黑客在 ATM 的内部 PC 上运行自己的代码，而第二个措施将阻止黑客连接新的设备，比如 U 盘。

让 ATM 吐钱其实很简单

这句话绝对不是宅客频道（微信公众号：letshome）瞎编的，但请注意，这是有水平的黑客自己说的。

事实上，今年9月，卡巴斯基还曝光了一款ATM 恶意软件“ATMitch”，这个恶意软件可让攻击者非法取款，然后可自行删除记录。

ATMitch 恶意软件攻击的第一阶段需要获取银行系统的访问权限，然后使用开源或其他公开可用的公用程序来控制系统以及攻击其他 ATM。由于它在内存中运行，这种无文件恶意软件会在受感染系统重启后消失。

早在 2016年，卡巴斯基实验室渗透测试专家就在题为《采用恶意软件（和非恶意软件）方式攻破ATM机》的演讲中，深度剖析了 ATM 机易受攻击的原因。

卡巴斯基给出的原因不多不少，有七条：

1.ATM 机本质是一台电脑。就算装了工业控制器，在 ATM 机系统里说了算的还是传统的 PC 电脑。

2.在 2016年的演示中，卡巴斯基称，演示的那台 PC 电脑有很大可能是由非常老旧的操作系统所控制，例如：WindowsXP。由于微软不再提供技术支持，所有零日漏洞将永久存在且没有任何补丁修复。不少黑客对表示：就算微软常常发补丁，大家打补丁的速度还是跟不上，尤其是工控设备，一次更新你以为闹着玩哦！

上述也提到，ATMii 针对的还是Windows XP 和更高版本的系统。

3.ATM 机里运行了很多有漏洞的软件。系统有漏洞还不算，安装的软件继续补刀。

4.卡巴斯基称，ATM 机生产商似乎一厢情愿地认为 ATM 机总是”正常工作”，且永远不会出错。因此，没有任何软件的完整性控制，也未安装任何反病毒解决方案，更不用提对向自动提款机发送命令的应用程序的安全认证。

5.安全人员吐槽：ATM 机看上去做得那么坚固，用的材料也是极好的，但为什么 ATM机的电脑外壳却是由塑料造的？最好的也只有薄金属保护，这个锁就更简单了，这不是轻易让人就能破掉吗？

6.ATM 会与处理中心联网。

7.ATM机模组通常连有各种标准接口，比如，COM和USB端口。有时这些接口就按在机柜外部，任何人都能轻松访问。即使未按在外部，犯罪分子也能想出各种办法连接这些端口。

参考链接：

https://www.kaspersky.com.cn/blog/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/3928/

http://securityaffairs.co/wordpress/64196/malware/atmii-atm-malware.html