赛门铁克近期调研揭秘 Lazarus 网络罪犯组织的攻击手段

　　Lazarus组织是一个活跃在网络犯罪和间谍活动中的犯罪攻击组织。该组织由于实施间谍活动和严重破坏性攻击被公众知晓，例如2014年对索尼影业发起的攻击。近年来，Lazarus 还参与多个以牟利为动机的网络攻击，包括2016年从孟加拉国中央银行盗走8,100万美元的惊天劫案以及WannaCry勒索软件攻击事件。WannaCry 利用“永恒之蓝”漏洞（Windows CVE-2017-0144 和0CVE-2017-0145 ）将勒索软件变为蠕虫病毒，扩散传播到网络上未打补丁的电脑以及其他连接到该网络电脑中。在在扩散后的短短几小时内，全球高达数万台电脑被感染。

　　近期，赛门铁克发布调研，揭露该组织发起金融攻击所用的主要工具。在针对ATM设备的“FASTCash”攻击中，Lazarus首先侵入目标银行的网络和处理ATM交易的切换应用服务器，在服务器被入侵后，攻击者立即植入恶意软件（Trojan.Fastcash ）。随后，该恶意软件拦截Lazarus的取款请求，并发送伪造的批准响应，使攻击者盗走 ATM 中的现金。

　　根据美国政府的警告，在2017年的一次攻击中，30 多个国家/地区的ATM设备同时被攻击。2018年，在Lazarus发起的另一次重大攻击事件中， 23个国家/地区的ATM设备被攻击。据估计，到目前为止，Lazarus组织发起的FASTCash攻击所造成的被盗金额已经高达数千万美元。

　　为了让ATM设备批准取款请求，攻击者将恶意高级交互执行程序（AIX）可执行文件植入运行合法进程的金融交易ATM网络切换应用服务器中，该恶意可执行文件包括构建ISO 8583虚假消息的逻辑 -- ISO 8583是发送金融交易消息的标准。此前，调研人员认为，攻击者利用恶意脚本操控服务器上合法软件，以实施攻击。

　　根据赛门铁克的分析，该执行文件为恶意软件，被称为Trojan.Fastcash。Trojan.Fastcash有两个主要功能：

　　当Trojan.Fastcash被安装到服务器上后，该恶意软件将立即读取所有入站网络流量，扫描收到的 ISO 8583 请求消息。然后，该恶意软件将获取所有消息上的账号 （PAN），如发现任何包含攻击者所使用的 PAN 账号中的消息类型指示（MTI）为“0x100 Authorization Request from Acquirer”，它将阻止消息进一步传输，并发送一条虚假的响应消息，让服务器批准取款请求，致使Lazarus 攻击者获得对ATM取款的请求。

　　Trojan.Fastcash用来生成虚假响应所使用的逻辑示例：包含收到攻击者请求生成虚假响应 （共三个响应的其中之一）。

　　If （Processing Code == 010000）:

　　Response code = 51

　　If （Processing Code == 300000）:

　　Response code = 00

　　Amount = Randomly computed number

　　All other Processing Codes:

　　Response code = 51

　　赛门铁克的调研人员发现， Trojan.Fastcash拥有几个不同的变体，且每一个变体都使用不同的响应逻辑。至于为何使用不同的响应逻辑，具体原因目前尚不清楚。赛门铁克猜测，背后原因可能是每一个变体可对应一家银行。

　　到目前为止，在所有FASTCash攻击中，攻击者都是在操作系统服务包支持日期到期之后，破坏运行不受支持的AIX操作系统版本的银行应用服务器。

　　近年发生的一系列FASTCash攻击事件表明，Lazarus攻击组织所发起的以牟利为由的攻击并非是短期作案，而是其核心活动之一。 从2016年发生的一系列虚拟银行攻击事件来看，Lazarus组织。在FASTCash攻击中非常熟悉银行系统和交易处理协议，能够轻易地运用这些知识从易受攻击的银行中盗取巨额现金。 可以说，Lazarus组织仍旧是银行安全所面临的重大威胁。

　　赛门铁克提供以下防护解决方案，保护客户免遭 Lazarus FASTCash的威胁：

　　Trojan.Fastcash

　　赛门铁克公司（纳斯达克：SYMC）是全球领先的网络安全企业，旨在帮助企业、个人和政府机构保护无处不在的重要数据安全。全球企业都青睐选用赛门铁克的战略性集成式解决方案，以抵御端点、云和基础设施上的复杂攻击。同时，全球超过5,000万个人和家庭依靠赛门铁克Norton和LifeLock产品套件保护家庭数字生活和个人设备。赛门铁克运行着全球最大的民用互联网情报网络之一，能够及时发现并抵御最高级的威胁。赛门铁克运营着全球规模领先的威胁情报网络，能够及时发现和抵御最高级威胁。