新惡意程式 Tyupkin 攻陷 ATM 機

深夜時分在東歐的某些 ATM 機輸入特定密碼，就能將 ATM 裡面全部現金提走！這不是天荒夜譚，而是一個最近被發現、針對作業系統為 Windows 的 ATM 的新惡意程式 Tyupkin 作業的「成果」。
卡巴斯基實驗的全球研究和分析團隊，對東歐一起針對多款 ATM 機的網路犯罪進行了取證調查。調查過程中，該團隊發現了一款新型的惡意程式Tyupkin，使用了控制活動時段和會話密鑰等技術來躲避檢測，而且一直在不斷演化。事件起於2014年年初，卡巴斯基實驗受到一家金融機構的委託，東歐多款 ATM 機的犯罪活動取證。調查中發現了一款惡意程式 Tyupkin，能夠讓攻擊者直接操縱 ATM 機，掏空其現金箱。Tyupkin活躍在東歐銀行機構所屬的超過 50 個 ATM 機上。根據提交到 VirusTotal 的數據，Tyupkin已經傳播到其他幾個國家，包括美國、印度和中國。

Tyupkin目前影響一個「重要 ATM 製造商」生產的 ATM，前提是其作業系統使用 Windows 的 32 位元版本，並運用了幾項技術來逃避檢測，首先是只在晚間的「某個特定時間」才會啟用，並會為每次連線分配一特定密碼，該密碼是基於隨機種子生成的。只有輸入正確密碼，攻擊者才能看到Tyupkin的界面。Tyupkin會顯示每個現金箱中有多少現金可用，並允許攻擊者直接操作 ATM 從選定的現金箱中取出 40 張鈔票，確保「長取長有」。大部分的分析樣本是在 2014 年 3 月編譯的。在最近的變種版本d 中，實現了反測試 (Anti-debugging) 和抗仿真(Anti-emulation) 技術，並使受感染的系統上禁用 McAfee Solidcore。

根據位於受感染ATM機的安全攝影機所記錄的影像，攻擊者能夠操作 ATM 機，並通過 LiveCD 安裝，複製以下列檔案到 ATM 機中。
C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
經過環境的檢測之後，該惡意程式會移除.lnk文件，並在註冊表中建立一個鍵：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“AptraDebug” = “C:\Windows\system32\ulssm.exe”
然後就能通過標準庫 MSXFS.dll（金融服務擴展XFS）與 ATM 機進行互動了。Tyupkin 會執行一個無限循環來等待用戶的輸入，為了更加難以被檢測，預設值下它只在週日和週一的晚「某些時段」接受命令，它接受以下命令。
XXXXXX – Shows the main window.（顯示主窗口）
XXXXXX – Self deletes with a batch file.（通過 batch自動刪除）
XXXXXX – Increases the malware activity period.（增加 Tyupkin 活躍時段）
XXXXXX – Hides the main window.（隱藏主窗口）
輸入命令之後，操作者必須按下 ATM 機鍵盤上的 ENTER。Tyupkin使用密碼防止其他用戶誤打誤撞進入，在輸入「Shows the main window」命令之後，Tyupkin 會顯示「ENTER SESSION KEY TOPROCEED!」，輸入密碼後繼續。Tyupkin 操作者必須了解演算法，並根據所顯示的種子來生成一個密碼。只有當密碼被正確的輸入，攻擊者才可以與受感染的 ATM 機進行交流。然後Tyupkin會顯示以下訊息。
CASH OPERATIONPERMITTED.（允許的現金操作）
TO START DISPENSE OPERATION -（開始取款操作）
ENTER CASSETTE NUMBER AND PRESS ENTER.（輸入現金箱的編號並按 ENTER）
當操作選擇了現金箱的編號之後，ATM機會吐出40張鈔票。當輸入的密碼不正確時，會禁用本地網路並顯示訊息：
DISABLING LOCALAREA NETWORK…（禁用本地網路）
PLEASE WAIT…（請等待）
目前並不清楚 Tyupkin 為什麼要禁用本地網路，可能為了延遲或干擾遠程調查。

過程中並不需要提款卡，因此受害的只是銀行。目前大部分 ATM 使用的都是 Windows ，包括匯豐和恆生的 ATM。只要微軟仍然有一天未提供任何修正，所有 ATM 都有被淘空的可能。調查團隊建議更改所有的 ATM 機預設的 Upper pool lock，避免使用供應商提供的預設密碼，並考慮只給 ATM 加入僅夠一天活動所需的現金。