别人传lnk文件怎么打开

卡巴斯基实验室全球研究团队近期针对东欧地区的多款ATM机网络犯活动展开深入调查。在此次调查过程中,团队发现了一款名为Tyupkin的新型恶意软件,它巧妙地运用了控制活动时段和会话密钥等技术来躲避安全检测。这款软件的持续演化发展,揭示了网络犯对金融行业日趋严重的威胁趋势。

一、关于ATM机的大致构造简述

今年年初,受金融机构委托,卡巴斯基实验室对一起涉及多款ATM机的网络犯活动展开调查。调查过程中,我们发现了一种恶意软件,能够使得攻击者直接操控ATM机,窃取现金箱内的资金。

该恶意软件在东欧超过50个银行机构的ATM机上十分活跃。根据VirusTotal的数据,该恶意软件已传播至其他区域,包括印度等地。由于没有卡巴斯基安全网络的数据支持,我们只能依据VirusTotal的统计数据来分析其感染范围。这款名为Backdoor.MSIL.Tyupkin的恶意软件主要影响那些运行微软Windows 32位操作系统的ATM机。

Tyupkin采取了多种狡猾的技术手段来逃避检测。它仅在特定的夜间时段处于激活状态,并且为每个会话分配一个基于随机种子生成的会话密钥。只有掌握了正确的会话密钥,攻击者才能与受感染的ATM机进行交互。一旦密钥验证成功,攻击者就能查看现金箱余额,并操控ATM机取出指定数量的现金(每次最多40张)。

大部分的分析样本是在2014年3月编译的,该恶意软件已经过一段发展演化。在最近的版本中,它实现了反调试和抗仿真技术,并能够在受感染的系统上禁用McAfee Solidcore安全系统。

二、ATM攻击分析

根据受感染ATM机的安全摄像头记录的画面,攻击者可以通过安装恶意软件来操控ATM机。攻击者会将特定文件复制到ATM机中,并通过环境检测后启动恶意软件。恶意软件会在注册表中创建一个条目,以便在每次系统启动时自动运行。随后,恶意软件通过MSXFS.dll库与ATM机进行交互,实现各种操作。为了逃避检测,Tyupkin只在周日和周一的晚上接受命令。当操作选择了现金箱的编号后,ATM机会按照指令吐出。当输入的会话密钥不正确时,恶意软件会禁用本地网络并显示相应的消息。

三、调查结论与现状

近年来,针对ATM机的网络犯活动呈现显著上升趋势。除了传统的分离器窃取金融数据外,我们还观察到网络犯的威胁正逐渐朝着金融机构的核心领域演变。Tyupkin恶意软件的出现就是一个典型的例子,攻击者正寻找ATM基础设施的弱点进行入侵。大量的ATM机运行着存在已知缺陷的操作系统并缺乏必要的安全防护措施,这是亟待解决的问题之一。

四、安全建议

针对金融机构和公司部署ATM机的情况,我们提出以下安全建议:

1. 加强ATM机的物理安全,购买高质量的安全解决方案;

2. 更改ATM机的默认上池锁和密钥,避免使用供应商提供的默认主密钥;

3. 确保ATM安全警报系统正常运行;

4. 如需验证ATM机是否感染,请联系卡巴斯基实验室;

5. 使用卡巴斯基病毒删除工具全面扫描并清除恶意软件。

五、对ATM操作员的一般建议

1. 确保ATM机安装在被安全摄像机监控的开放区域,并固定牢固;

2. 定期检查ATM机是否附加了第三方设备;

3. 提高对社工攻击的警惕性;

4. 对入侵警报保持敏感,及告可疑活动;

5. 考虑限制ATM机的现金储备,仅提供一天所需的现金量。