賽門鐵克近期調(diào)研揭秘 Lazarus 網(wǎng)絡(luò)罪犯組織的攻擊手段

　　Lazarus組織是一個(gè)活躍在網(wǎng)絡(luò)犯罪和間諜活動中的犯罪攻擊組織。該組織由于實(shí)施間諜活動和嚴(yán)重破壞性攻擊被公眾知曉，例如2014年對索尼影業(yè)發(fā)起的攻擊。近年來，Lazarus 還參與多個(gè)以牟利為動機(jī)的網(wǎng)絡(luò)攻擊，包括2016年從孟加拉國中央銀行盜走8,100萬美元的驚天劫案以及WannaCry勒索軟件攻擊事件。WannaCry 利用“永恒之藍(lán)”漏洞（Windows CVE-2017-0144 和0CVE-2017-0145 ）將勒索軟件變?yōu)槿湎x病毒，擴(kuò)散傳播到網(wǎng)絡(luò)上未打補(bǔ)丁的電腦以及其他連接到該網(wǎng)絡(luò)電腦中。在在擴(kuò)散后的短短幾小時(shí)內(nèi)，全球高達(dá)數(shù)萬臺電腦被感染。

　　近期，賽門鐵克發(fā)布調(diào)研，揭露該組織發(fā)起金融攻擊所用的主要工具。在針對ATM設(shè)備的“FASTCash”攻擊中，Lazarus首先侵入目標(biāo)銀行的網(wǎng)絡(luò)和處理ATM交易的切換應(yīng)用服務(wù)器，在服務(wù)器被入侵后，攻擊者立即植入惡意軟件（Trojan.Fastcash ）。隨后，該惡意軟件攔截Lazarus的取款請求，并發(fā)送偽造的批準(zhǔn)響應(yīng)，使攻擊者盜走 ATM 中的現(xiàn)金。

　　根據(jù)美國政府的警告，在2017年的一次攻擊中，30 多個(gè)國家/地區(qū)的ATM設(shè)備同時(shí)被攻擊。2018年，在Lazarus發(fā)起的另一次重大攻擊事件中， 23個(gè)國家/地區(qū)的ATM設(shè)備被攻擊。據(jù)估計(jì)，到目前為止，Lazarus組織發(fā)起的FASTCash攻擊所造成的被盜金額已經(jīng)高達(dá)數(shù)千萬美元。

　　為了讓ATM設(shè)備批準(zhǔn)取款請求，攻擊者將惡意高級交互執(zhí)行程序（AIX）可執(zhí)行文件植入運(yùn)行合法進(jìn)程的金融交易ATM網(wǎng)絡(luò)切換應(yīng)用服務(wù)器中，該惡意可執(zhí)行文件包括構(gòu)建ISO 8583虛假消息的邏輯 -- ISO 8583是發(fā)送金融交易消息的標(biāo)準(zhǔn)。此前，調(diào)研人員認(rèn)為，攻擊者利用惡意腳本操控服務(wù)器上合法軟件，以實(shí)施攻擊。

　　根據(jù)賽門鐵克的分析，該執(zhí)行文件為惡意軟件，被稱為Trojan.Fastcash。Trojan.Fastcash有兩個(gè)主要功能：

　　當(dāng)Trojan.Fastcash被安裝到服務(wù)器上后，該惡意軟件將立即讀取所有入站網(wǎng)絡(luò)流量，掃描收到的 ISO 8583 請求消息。然后，該惡意軟件將獲取所有消息上的賬號 （PAN），如發(fā)現(xiàn)任何包含攻擊者所使用的 PAN 賬號中的消息類型指示（MTI）為“0x100 Authorization Request from Acquirer”，它將阻止消息進(jìn)一步傳輸，并發(fā)送一條虛假的響應(yīng)消息，讓服務(wù)器批準(zhǔn)取款請求，致使Lazarus 攻擊者獲得對ATM取款的請求。

　　Trojan.Fastcash用來生成虛假響應(yīng)所使用的邏輯示例：包含收到攻擊者請求生成虛假響應(yīng) （共三個(gè)響應(yīng)的其中之一）。

　　If （Processing Code == 010000）:

　　Response code = 51

　　If （Processing Code == 300000）:

　　Response code = 00

　　Amount = Randomly computed number

　　All other Processing Codes:

　　Response code = 51

　　賽門鐵克的調(diào)研人員發(fā)現(xiàn)， Trojan.Fastcash擁有幾個(gè)不同的變體，且每一個(gè)變體都使用不同的響應(yīng)邏輯。至于為何使用不同的響應(yīng)邏輯，具體原因目前尚不清楚。賽門鐵克猜測，背后原因可能是每一個(gè)變體可對應(yīng)一家銀行。

　　到目前為止，在所有FASTCash攻擊中，攻擊者都是在操作系統(tǒng)服務(wù)包支持日期到期之后，破壞運(yùn)行不受支持的AIX操作系統(tǒng)版本的銀行應(yīng)用服務(wù)器。

　　近年發(fā)生的一系列FASTCash攻擊事件表明，Lazarus攻擊組織所發(fā)起的以牟利為由的攻擊并非是短期作案，而是其核心活動之一。 從2016年發(fā)生的一系列虛擬銀行攻擊事件來看，Lazarus組織。在FASTCash攻擊中非常熟悉銀行系統(tǒng)和交易處理協(xié)議，能夠輕易地運(yùn)用這些知識從易受攻擊的銀行中盜取巨額現(xiàn)金。 可以說，Lazarus組織仍舊是銀行安全所面臨的重大威脅。

　　賽門鐵克提供以下防護(hù)解決方案，保護(hù)客戶免遭 Lazarus FASTCash的威脅：

　　Trojan.Fastcash

　　賽門鐵克公司（納斯達(dá)克：SYMC）是全球領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)，旨在幫助企業(yè)、個(gè)人和政府機(jī)構(gòu)保護(hù)無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案，以抵御端點(diǎn)、云和基礎(chǔ)設(shè)施上的復(fù)雜攻擊。同時(shí)，全球超過5,000萬個(gè)人和家庭依靠賽門鐵克Norton和LifeLock產(chǎn)品套件保護(hù)家庭數(shù)字生活和個(gè)人設(shè)備。賽門鐵克運(yùn)行著全球最大的民用互聯(lián)網(wǎng)情報(bào)網(wǎng)絡(luò)之一，能夠及時(shí)發(fā)現(xiàn)并抵御最高級的威脅。賽門鐵克運(yùn)營著全球規(guī)模領(lǐng)先的威脅情報(bào)網(wǎng)絡(luò)，能夠及時(shí)發(fā)現(xiàn)和抵御最高級威脅。