今年七月份第一銀行爆發ATM盜領案,跨國網路犯罪集團的駭客鎖定臺灣的41臺ATM,並執行遠端遙控吐鈔,第一銀行在短短幾個小時內被盜領8千3百多萬元臺幣。第一時間協助鑑識分析的刑事警察局第九大隊,其科技研發科數位證據股股長陳詰昌,在臺灣駭客年會HITCON Pacific上報告了偵查的過程,剖析事件前後的日誌檔(Log Analysis)、逆向工程(Reverse Engineering)以及數位鑑識(Digital Forensics)的結果。更重要的是,第九大隊比對了資安研究公司Group-IB所釋出的國際ATM駭客集團的報告,發現一銀駭客的手法與Buhtrap、Cobalt駭客集團在歐洲和亞洲的犯案手法高度類似。陳詰昌更透露,駭客能夠在銀行內網來去自如,就是因為2個取得帳密的關鍵方法。

第一銀行的ATM盜領事件發生後,臺灣在短短10天內就宣布破案,逮捕3名在臺的外籍洗錢嫌犯後,也順利追回大部分款項。臺北地方法院檢察官9月13日公布的起訴書指出,駭客如何將第一銀行在倫敦分行的電話錄音主機做為跳板,駭入內網後,更一路建立具有管理權限的帳號,將33個DMS封裝檔檔案利用應用程式惡意程式派送到受駭的ATM設備。並且,因為管理者帳號已經提高到具有Telnet連網權限,之後便啟動FTP功能,到NCR下載惡意程式「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」和批次檔「cleanup.bat」,並且在犯案後,執行「cleanup.bat」把犯案記錄「displog.txt」清除,徹底滅證。

而陳詰昌指出,在2015年8月到今年2月份,成功犯下13起銀行內網攻擊的俄羅斯集團Buhtrap,在部分成員遭到逮捕後,該組織部分的核心成員另組成Cobalt集團。Cobalt集團將攻擊版圖擴展到歐洲與亞洲,包含英國、荷蘭以及馬來西亞等14個國家的ATM系統。2個駭客集團的犯案手法相似,不過Cobalt集團在歐洲主要針對NCR主機進行攻擊。陳詰昌表示,經過比對資安研究公司Group-IB所釋出對上述2集團的研究報告後,發現這2個國際集團的犯罪手法與一銀盜領案的駭客手法十分雷同。

首先, 犯案的程式特徵都有限定日期。iThome曾報導一銀ATM盜領惡意程式會指定在7月發作,逾期就會失效,對惡意程式來說,限定日期發作的功能很少見,在一銀ATM盜領案中發現的4支惡意程式,都只在今年7月份執行才有效。而Cobalt集團集團則是限定在5月份。

再則,吐鈔程式設定的參數也十分類似,包括鈔匣數限制、出鈔張數限制,其參數設定幾乎相同。

另一個關鍵特徵則是,犯案過程會產生一個程式漏洞,就是留下記錄檔(disp.txt),用來記錄吐鈔資訊,並提供給成員作為核對使用,跟一銀ATM盜領案留下的「cngdisp.txt」相同。他也指出集團與一銀駭客的滅證工具也相同,都是使用SDELETE進行滅證。

 

銀行內網來去自如?駭客獲取密碼的關鍵

最後,陳詰昌根據Group-IB報告,點出駭客如何取得管理者密碼,也是駭客在內網來去自如的關鍵。他表示,主要有兩種方式,一個是Windows 2008即開始有的功能:Group Policy Preference(群組原則設定),這個功能讓管理者可以用各種不同的原則進行系統及應用配置,例如新增網路磁碟、網路內電腦新增帳號等。

駭客利用群組原則設定功能,在Domain Controller主機下都存在著groups.xml的檔案,而同一個網域下的每臺電腦都可以讀取這個groups.xml。當獲取該檔案後,就可以看到經過AES 256位元加密後的密碼。「所以你既然有金鑰,有加密的結果,你就可以解密,取得管理者的密碼。」陳詰昌說。

另外,如果是個人電腦,他指出,可以透過MiMiKatz滲透工具來獲取密碼。例如,這次駭客在ATM上執行MiMiKatz程式,就可以在具管理者權限下,解析存在記憶體中的管理者密碼。

不過,陳詰昌表示,在一銀案中,可以看到86.exe的檔案執行結果,確實也是用MiMiKatz工具來解析記憶體內的資料,但是並非用來取得密碼,「可以看到,他們是在進行捕捉Terminal Server的服務,讓多個使用者同時去做telnet的事情。」


Advertisement

更多 iThome相關內容