《独家》调查局揭露：一银ATM盗领恶意程式指定在7月发作，逾期失效

调查局从12日接获第一银行的报案后，包括资通安全处资安鉴识人员在内的调查局干员，便陆续到第一银行各家受害分行以及总行资讯处查扣相关的证物，希望能够在第一时间保存完整的数位证据。

在历经2天的鉴识分析后，调查局首度透漏，此次捉到的ATM盗领恶意程式中，非常少见的指定该恶意程式的有效使用期限为2016年7月，逾期该恶意程式将无法执行ATM盗领金钱的功能。调查局说：“这也是调查局资安鉴识实验室成立十年来，少见会指定发作月份的恶意程式。”

一银ATM盗领恶意程式有效期限，只限今年7月

调查局也表示，这次发现的4支恶意程式都是执行档，为了了解这些恶意程式的功能，鉴识人员透过反组译的方式，解析这四支恶意程式的功能。调查局指出，从解壳之后的恶意程式功能说明中才第一次发现，原来这几支恶意程式都有事先设定档案执行的日期，仅限2016年7月有效。一旦超过这个发作日期，该恶意程式就会失效。

在发现的恶意程式中，“cnginfo.exe”主要用来取得ATM相关资料，包括系统资讯、卡夹资讯，并可以测试开启吐钞开关夹，该恶意程式并无对外连线的功能。另外，像是“cngdisp.exe”及类似的变种恶意程式“cngdisp_new.exe”，主要的功能就是操作ATM吐钞程式，带入参数后，可以选择吐钞的卡夹槽（Slot）及吐钞张数；执行该恶意程式后，就可以吐出钞票，并且将该执行结果记录在“displog.txt”中，这个恶意程式，也同样没有对外连线的功能。至于“cleanup.bat”就是一个批次档的执行程式，主要的目的是要清除显示ATM相关资讯的“cnginfo.exe”和控制ATM吐钞功能的“cngdisp.exe”及“cngdisp_new.exe”。

不过，调查局也强调，利用数位鉴识方式找到的另外一只程式“sdelete.exe”，其实是微软操作系统中内建的资料删除功能，这也显示出写这些恶意程式的作者相当聪明，对于微软操作系统的功能相当了解，直接选择使用微软内建的删除功能，并不用另外再写一个将所有轨迹删除的恶意程式。调查局并不愿意证实，这几个恶意程式究竟是从单一的执行档解析出来的，还是是从不同恶意程式解析后看到的功能。

调查局指出，由于一银ATM盗领恶意程式会消除自己的迹证，这次可以发现这几支恶意程式，其实都是从漏网之鱼中才发现相关的轨迹。调查局表示，如果不是这些恶意程式的作者仍有疏漏之处，刚好让调查局资安鉴识成员发现，也很难只花不到一天的时间，就可以找到相关的恶意程式。

调查局也表示，骇客究竟如何远端操控ATM吐钞，如何植入恶意程式等相关入侵手法，还有许多环节还需要进一步调查，现在尚无精确定论。

指定发作日期的恶意程式，韩国320事件就有先例

从调查局的鉴识结果发现，这只恶意程式会指定发作时间，也是台湾少数有类似功能的恶意程式。但是，从其他资安专家的分析认为，这些写恶意程式的黑帮对于这些执行领钱任务的车手们，应该也不信任，才会要求车手们必须在指定的期限内完成任务，“这也是为什么俄罗斯车手们，会选择在7月7日入境台湾的原因。”资安专家说道。

其实，这种指定发作时间的恶意程式也非特例，在2013年3月20日在韩国首尔爆发的黑暗首尔（Dark Seoul）攻击事件中，带来的后遗症包括：韩国KBS电视台、MBC电视台、YTN电视台、新韩银行、农协银行和济州银行等共6家企业，超过48,700台电脑、服务器与ATM服务器陆续发生当机，包括硬盘开机磁区也损毁，无法重新提供服务，也有数千台ATM故障，网络银行与信用卡服务也受创。

从韩国政府发布的调查结果中也发现，这起黑暗首尔的攻击事件中，总共发现76支恶意程式，以分进合击的方式，设法入侵相关的受骇电脑中，因为功能不同，扮演的角色也不同。

主要的恶意程式功能可以分成四大类，分别是：用于清除电脑硬盘中资料的Wipe清除恶意程式；会下载Wipe程式来执行清除动作的Drop&Wipe（下载与清除）恶意程式；不只是下载Wipe程式，还会入侵目标电脑上的网站，将官网首页内容替换成骇客宣示用或其他网页的Drop＆Wipe&Deface（下载、清除与网页置换）恶意程式；以及最后一种是用来在目标电脑中建立后门或植入远端遥控用的木马程式的Drop＆Backdoor（下载与开后门）恶意程式；当然，其他还有少数未能分类到这四类的未知功能恶意程式。

资安专家表示，以黑暗首尔攻击事件的恶意程式为例，每个恶意程式都具备特定的功能，也有多支恶意程式具备类似功能，即便有某一支恶意程式不慎被发现，还有其他恶意程式可以相互掩盖行踪、彼此接手扮演角色与任务。“这样的攻击手法，就跟分工精密的作战部队是一样的，当每一个恶意程式的功能越专精，恶意程式档案就越小，被各种防御机制发现的机会也越小。”资安专家说道，这或许为什么，即便是资安防护等级较高的金融业，都很难发现这种攻击的原因之一。

调查局资安鉴识实验室成员超过200人

这次负责作数位证据保全和鉴识分析的调查局资安鉴识实验室，是台湾少数具有数位与犯罪鉴识实战经验的团队，调查局表示，目前资安鉴识相关成员已经超过200人，相关人员都分散在六都。一旦需要相关的资安鉴识时，六都都有在地成员可以协助，在总部实验室的20多人，只需要一、两位到各地支援办案即可。

调查局认为，资安鉴识实验成从2006年成立之初，只有6、7名成员，到现在发展成超过200人的团队，“十年有成”其实是调查局资安鉴识实验室的最佳写照。