【资安周报第32期】骇客从一银伦敦分行作为入侵内网ATM跳板的异常场景启示

震惊台湾社会的第一银行ATM盗领8,327余万元的资安事件，在历经一周的追缉后，终于抓到仍在台湾的三名外籍共犯，警政署长陈国恩更大肆宣布破案，彰显台湾不是这些国际犯罪集团可以任意作乱的国家。只不过，被捉到的嫌犯之一，拉脱维亚藉安德鲁被移送时幽幽地说一句：“你们只是担心那些被抢的钱。”更让人觉得这件事有蹊跷。

调查局证实，骇客从一银伦敦分行作为入侵内网ATM跳板

果不其然，随着更新的调查结果出炉，不仅发现俄罗斯骇客集团是透过入侵资安防护相对薄弱的一银伦敦分行的电话录音系统后，再渗透到内网，取得一银内部的网络拓朴后，再进一步取得ATM派送更新软件的服务器权限。

不过，骇客究竟如何从入侵分行的录音系统再渗透到内网，一直是大家关注的重点。调查局表示，入侵分行录音系统的方式，不排除是鱼叉式钓鱼邮件，或者是内神通外鬼两种方式，先掌握分行行员电脑，再设法入侵分行系统。

而如何进一步渗透到银行内网的手法，曾经在2006年，利用ATM漏洞和测试工具，远端控制Wincor这个厂牌的ATM，进行远端遥控吐钞测试的ForceShield技术长林育民表示，ATM的安全弱点可以从三个面向来看，分别是内部人员及维护厂商等内鬼造成的，或者是骇客直接从外部入侵，以及利用软硬件漏洞取得ATM的控制权限。

林育民表示，从目前调查局释出的资料看来，一银ATM盗领事件比较像是骇客直接从外部入侵造成的资安事件，若要进一步分析可能的入侵方式，大致可以包括三种方式。

第一种，骇客会利用跳板主机或行内网络进行入侵，远端控制ATM。即便大家普遍认为ATM网络是封闭网络，因为会与外网隔离所以相对安全，但林育民表示，只要银行内网有特定设备可以连结ATM网络，骇客就可以透过多个跳板进行攻击，远端控制ATM。

第二种，让ATM或其他主机感染恶意程式，连回骇客控制的命令与控制服务器（中继站）后，骇客就可以远端控制ATM。但林育民也指出，这个感染ATM或其他主机的方式，除了可以透过USB随身碟感染恶意程式外，也可以利用软件派送更新或操作过程的疏失，让ATM系统因此感染恶意程式，骇客便可以管控该台受骇的ATM。当然，他说，也有部分银行允许ATM系统可以对外连DNS和防毒软件更新，这时候，恶意程式也可以通过DNS向骇客进行回报，控管该ATM系统。

第三种，骇客可以透过感染恶意程式和网络攻击方式，瘫痪ATM的网络系统。目前从调查局释出的资讯可以猜测，骇客是利用第二种手法中的软件更新或操作过程中的疏失，借此远端操控ATM系统。

以派送方式入侵分行系统后，再取得管理员权限为恶

调查局新北市调查处则表示，根据数位鉴识结果发现，骇客在入侵一银伦敦员工的个人电脑，设法取得内部管理员的权限，之后，再7月4日设法操控一银总行的ATM软件派送服务器后，就可以利用派送ATM更新软件之便，打开ATM远端连线服务（Telnet Service）。

之后，等到7月9日，骇客再从远端登入，将恶意程式派送到ATM设备中，而这些被植入ATM设备的恶意程式，都有设定，仅限2016年7月有效，一旦逾期，恶意程式中控制ATM远端吐钞程式cngdisp.exe及cngdisp_new.exe，或者是显示该受骇ATM资讯的恶意程式cnginfo.exe，也都会失效。

之后，骇客也会将利用一个批次档cleanup.bat，执行微软内建的删除功能sdelete.exe，也同时将远端连线服务Telnet Service由手动变成自动模式。调查局也指出，目前数位鉴识发现，这些被删除的程式则被储存在C：\install以及C：\Documents and Setting\Administrator\中。

资安专家表示，一般推论，如果是透过远端连线服务telnet进入银行分行系统时，假若骇客是利用软件更新的派送方式，将恶意程式储存在ATM中时，可以发现相关的恶意程式会存放在C：\install中；但如果是取得电脑系统管理员权限后，再将恶意程式植入ATM系统，相关的恶意程式则会存放在C：\Documents and Setting\Administrator\中。

资安专家指出，如果透过软件派送的恶意程式，在上述两个资料夹中都有发现，就逻辑推论，派送的软件应该比取得管理员权限的程式，可能更早1～2个月，就已经被骇客植入到分行系统中。

直到恶意程式设定的有效期间到了之后，骇客就可以开启ATM远端连线服务，将包括ATM远端吐钞程式，以假冒更新ATM软件方式，派送到各个ATM设备上。

当然，这种派送更新ATM软件的过程中，资安专家认为，银行内部系统可能都透过，一、采用账号Administrator、密码firstbank123的弱密码的方式，或者二、使用弱点攻击成功的方式，甚至是三、从员工的Excel表单中，偷看到总行的密码等方式，更容易从分行系统透过专线方式，进入到总行系统中。

俄罗斯地下论坛有骇客宣称，会在今年夏天大干一场

长期观察俄罗斯黑帮利用骇客进行各种网络攻击的资安专家表示，其实去年底在俄罗斯的地下论坛中，就有发现，有骇客团体对外宣称将在今年夏天，针对Wincer厂牌的ATM，干一票大案子。“We've been following an ATM malware development group out of Russia that specializes in malware that they deploy (physically up to this point) on ATMs to empty the cassettes. We've confirmed that it works as advertised. They also claim to have been "planning something big for this summer." Given the timing and some other targeting characteristics (specifically the targeting of Wincor machines), we suspect that it may be this group, but we can't confirm at this time. Looking further into it.”

而且，这些俄罗斯黑帮份子其实并不相信这些骇客，所以，针对这类的ATM攻击事件中，至少会有三组以上的不同成员，彼此分工合作但却又互不相识。就功能分工的设计上，至少，会有一组骇客设计破解ATM的恶意程式；也有一组骇客专门负责攻击、放后门并执行后门程式，执行ATM吐钞；最后也会安排一组专门提款的车手负责从ATM领钱。

但从一银的ATM盗领事件中则可以发现，俄罗斯黑帮集团连洗钱都会安排第四组人选负责，由此，更可以发现整个黑色产业链，不仅分工精细而且都是朝向专业化的分工方式。

一银ATM缺乏足够的监控和预警机制

其实，就银行治理上，第一银行一直是模范生，是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位，加上金管会对于银行向来是高度控管，而且一银在ATM上，也一直都还是采用SNA封闭网络架构的银行，也难怪，爆发ATM盗领事件时，震惊社会及金融圈。

资安专家表示，从目前外界可以获得的资讯来看，一银的ATM网络和内部办公网络并没有有效隔离，一银对ATM上启动哪些服务和操作系统日志都没有监控，这也会造成一银爆发如此重大ATM盗领事件时，无法有任何事先预警机制。

若进一步解析第一银行的IT治理，我们也可以发现盲点所在。首先，不论是ISO 27001或者是ISO 20000，都是以资讯单位为认证范围的认证，加上，金融业长期认为，封闭网络系统的ATM是比较安全的，都使得一银缺乏足够的警觉性面对这样的盗领事件。

再者，一银的ATM设备虽然都有安装防毒软件，但是，包括cngdisp.exe、cngdisp_new.exe和cnginfo.exe等执行档，经过调查局的鉴识后才确定为恶意程式，但是一刚开始，防毒软件都不会认定是恶意程式，只会认定为是一种具备特殊功能的执行档时，银行忽略面对这种关键服务时，应该只能以白名单的方式，允许少数的合法程式可以在ATM系统中执行，而非由防毒软件来判断应用程序的安全性。

第三，ATM装置上缺乏相关的预警系统，例如，ATM有异常金钱提领时，为什么没有任何警示；而当ATM的现钞与账务盘点有不符时，第一时间为何没有事先预警等等，也都是让这样的盗领事件，杀的让人措手不及的原因。像是在ATM设备上，若要做到机械性控制ATM吐钞，基本上需要额外有一个不受ATM操作系统控制的独立硬件装置，例如压力计数芯片，可以透过SIM卡将资讯回传总公司，可以有双重资讯作比对，银行的掌控性才相对高。

资安专家也建议包括一银在内的金融业者，主管机关要求的各种资安与IT管理认证，不应该只是为了认证而认证，不应该将所有经历都放在填ISO表单，全部纸本作业看起来安全，事实证明，就是有可能爆发让人意想不到的资安事件，“技术性的检验落实，才是IT与资安认证的重点。”资安专家说道。

上周（7/10～7/16）重要资安事件回顾：

※行政院资安处8月1日挂牌上路，现任国发会资讯处长简宏伟任资安处长一职

※勒索软件克星来了! 研究人员发表能阻止勒索软件加密的CryptoDrop系统

※拒绝美国政府存取爱尔兰服务器，微软赢得上诉

※《独家》调查局揭露：一银ATM盗领恶意程式指定在7月发作，逾期失效

※美国官方报告指中国曾多次骇进美国联邦存保公司

※克莱斯勒汽车祭出漏洞悬赏奖金，仿效软件公司资安作法来抓漏

※变种勒赎软件没江湖道义，拿了钱还撕票！

※程式小错误代价知多少？花旗遭SEC罚款700万美元

※Pokemon GO首个更新出炉，修补Google账号登入的隐私漏洞

※高度类似俄罗斯科技黑帮手法，调查局证实一银ATM遭植木马，骇客远端遥控大吐钞

※玩家要小心！含木马的Pokemon Go现身

※2018韩国平昌冬奥将以人形机器人进行维安作业

※快更新！旧版小米MIUI存在远端执行恶意程式漏洞，影响数百万小米装置