調查局資安鑑識實驗室在保全第一銀行ATM盜領的數位證據中發現,這些惡意程式已經指定只在今年7月才能執行,預期失效。圖為此次發生ATM盜領事件受駭分行之一的吉林分行。

調查局從12日接獲第一銀行的報案後,包括資通安全處資安鑑識人員在內的調查局幹員,便陸續到第一銀行各家受害分行以及總行資訊處查扣相關的證物,希望能夠在第一時間保存完整的數位證據。

在歷經2天的鑑識分析後,調查局首度透漏,此次捉到的ATM盜領惡意程式中,非常少見的指定該惡意程式的有效使用期限為2016年7月,逾期該惡意程式將無法執行ATM盜領金錢的功能。調查局說:「這也是調查局資安鑑識實驗室成立十年來,少見會指定發作月份的惡意程式。」

一銀ATM盜領惡意程式有效期限,只限今年7月

調查局也表示,這次發現的4支惡意程式都是執行檔,為了了解這些惡意程式的功能,鑑識人員透過反組譯的方式,解析這四支惡意程式的功能。調查局指出,從解殼之後的惡意程式功能說明中才第一次發現,原來這幾支惡意程式都有事先設定檔案執行的日期,僅限2016年7月有效。一旦超過這個發作日期,該惡意程式就會失效。

在發現的惡意程式中,「cnginfo.exe」主要用來取得ATM相關資料,包括系統資訊、卡夾資訊,並可以測試開啟吐鈔開關夾,該惡意程式並無對外連線的功能。另外,像是「cngdisp.exe」及類似的變種惡意程式「cngdisp_new.exe」,主要的功能就是操作ATM吐鈔程式,帶入參數後,可以選擇吐鈔的卡夾槽(Slot)及吐鈔張數;執行該惡意程式後,就可以吐出鈔票,並且將該執行結果記錄在「displog.txt」中,這個惡意程式,也同樣沒有對外連線的功能。至於「cleanup.bat」就是一個批次檔的執行程式,主要的目的是要清除顯示ATM相關資訊的「cnginfo.exe」和控制ATM吐鈔功能的「cngdisp.exe」及「cngdisp_new.exe」。

不過,調查局也強調,利用數位鑑識方式找到的另外一隻程式「sdelete.exe」,其實是微軟作業系統中內建的資料刪除功能,這也顯示出寫這些惡意程式的作者相當聰明,對於微軟作業系統的功能相當了解,直接選擇使用微軟內建的刪除功能,並不用另外再寫一個將所有軌跡刪除的惡意程式。調查局並不願意證實,這幾個惡意程式究竟是從單一的執行檔解析出來的,還是是從不同惡意程式解析後看到的功能。

調查局指出,由於一銀ATM盜領惡意程式會消除自己的跡證,這次可以發現這幾支惡意程式,其實都是從漏網之魚中才發現相關的軌跡。調查局表示,如果不是這些惡意程式的作者仍有疏漏之處,剛好讓調查局資安鑑識成員發現,也很難只花不到一天的時間,就可以找到相關的惡意程式。

調查局也表示,駭客究竟如何遠端操控ATM吐鈔,如何植入惡意程式等相關入侵手法,還有許多環節還需要進一步調查,現在尚無精確定論。

指定發作日期的惡意程式,韓國320事件就有先例

從調查局的鑑識結果發現,這隻惡意程式會指定發作時間,也是臺灣少數有類似功能的惡意程式。但是,從其他資安專家的分析認為,這些寫惡意程式的黑幫對於這些執行領錢任務的車手們,應該也不信任,才會要求車手們必須在指定的期限內完成任務,「這也是為什麼俄羅斯車手們,會選擇在7月7日入境臺灣的原因。」資安專家說道。

其實,這種指定發作時間的惡意程式也非特例,在2013年3月20日在韓國首爾爆發的黑暗首爾(Dark Seoul)攻擊事件中,帶來的後遺症包括:韓國KBS電視臺、MBC電視臺、YTN電視臺、新韓銀行、農協銀行和濟州銀行等共6家企業,超過48,700臺電腦、伺服器與ATM伺服器陸續發生當機,包括硬碟開機磁區也損毀,無法重新提供服務,也有數千臺ATM故障,網路銀行與信用卡服務也受創。

從韓國政府發布的調查結果中也發現,這起黑暗首爾的攻擊事件中,總共發現76支惡意程式,以分進合擊的方式,設法入侵相關的受駭電腦中,因為功能不同,扮演的角色也不同。

主要的惡意程式功能可以分成四大類,分別是:用於清除電腦硬碟中資料的Wipe清除惡意程式;會下載Wipe程式來執行清除動作的Drop&Wipe(下載與清除)惡意程式;不只是下載Wipe程式,還會入侵目標電腦上的網站,將官網首頁內容替換成駭客宣示用或其他網頁的Drop&Wipe&Deface(下載、清除與網頁置換)惡意程式;以及最後一種是用來在目標電腦中建立後門或植入遠端遙控用的木馬程式的Drop&Backdoor(下載與開後門)惡意程式;當然,其他還有少數未能分類到這四類的未知功能惡意程式。

資安專家表示,以黑暗首爾攻擊事件的惡意程式為例,每個惡意程式都具備特定的功能,也有多支惡意程式具備類似功能,即便有某一支惡意程式不慎被發現,還有其他惡意程式可以相互掩蓋行蹤、彼此接手扮演角色與任務。「這樣的攻擊手法,就跟分工精密的作戰部隊是一樣的,當每一個惡意程式的功能越專精,惡意程式檔案就越小,被各種防禦機制發現的機會也越小。」資安專家說道,這或許為什麼,即便是資安防護等級較高的金融業,都很難發現這種攻擊的原因之一。

調查局資安鑑識實驗室成員超過200人

這次負責作數位證據保全和鑑識分析的調查局資安鑑識實驗室,是臺灣少數具有數位與犯罪鑑識實戰經驗的團隊,調查局表示,目前資安鑑識相關成員已經超過200人,相關人員都分散在六都。一旦需要相關的資安鑑識時,六都都有在地成員可以協助,在總部實驗室的20多人,只需要一、兩位到各地支援辦案即可。

調查局認為,資安鑑識實驗成從2006年成立之初,只有6、7名成員,到現在發展成超過200人的團隊,「十年有成」其實是調查局資安鑑識實驗室的最佳寫照。

 


Advertisement

更多 iThome相關內容