很久很久以前，也就是2010年，一個(gè)名叫Barnaby Jack的家伙在黑帽大會(huì)上演示了讓ATM取款機(jī)狂吐鈔票的過(guò)程。

此人先前就在安全圈有頗為響亮的名氣，這次的ATM機(jī)攻擊讓他更加聞名遐邇。Jack說(shuō)他小時(shí)候看電影《終結(jié)者2》的時(shí)候就很羨慕ATM取款機(jī)吐錢(qián)的橋段，能夠?qū)⑦@樣的橋段變成現(xiàn)實(shí)也是他的夢(mèng)想。

Barnaby Jack

2013年7月，Jack意外身亡，外界對(duì)他身亡的原因眾說(shuō)紛紜，不過(guò)這個(gè)故事也就結(jié)束了。但你可能不知道的是，針對(duì)ATM機(jī)攻擊的歷史，在那年黑帽大會(huì)之前就已經(jīng)存在了。這次，我們就來(lái)聊聊相關(guān)ATM取款機(jī)的攻擊和安全故事，畢竟從ATM機(jī)白拿錢(qián)的事，大概是大家都會(huì)去想的。

| ATM取款機(jī)攻擊思路在哪？

ATM取款機(jī)攻擊的確是21世紀(jì)才逐漸擺上臺(tái)面的話題，不過(guò)ATM機(jī)本身的存在歷史可以追溯上世紀(jì)60年代，這跟“黑客”一詞的出現(xiàn)差不多是同期。迪堡（Diebold）公司宣稱(chēng)，最早的ATM機(jī)是他們?cè)?967年造的，但實(shí)際上，1961年Luter G.Simjiande最早提出的ATM機(jī)設(shè)想就已經(jīng)成真了。當(dāng)年ATM機(jī)實(shí)在造價(jià)不菲，使用率也不高，其真正普及是從70年代后期開(kāi)始的。

那個(gè)時(shí)候科技和網(wǎng)絡(luò)都不發(fā)達(dá)，1969年的ATM機(jī)都還沒(méi)有聯(lián)網(wǎng)。為了安全，銀行只向信用記錄還不錯(cuò)的人開(kāi)放ATM機(jī)。早期基本也沒(méi)什么人從技術(shù)手段上對(duì)其進(jìn)行攻擊，大抵上也就是把ATM機(jī)搬走這種“高大上”的暴力攻擊手段。 

ATM機(jī)作為一款商品，是僅面向金融機(jī)構(gòu)的，加上不同國(guó)家政府對(duì)ATM機(jī)的要求有差異（比如我國(guó)規(guī)定，存取款一體機(jī)，存入的錢(qián)和取出的錢(qián)必須完全分開(kāi)，不能循環(huán)利用；比如美國(guó)的ATM機(jī)在程序執(zhí)行方面更受銀行控制，所以流程更可控），我們這些普通人很難了解或者概括這類(lèi)設(shè)備的內(nèi)部詳細(xì)組成，和具體的軟件定制。

不過(guò)最基本的組成還是不變的：

鈔箱——就是ATM機(jī)下方用來(lái)放錢(qián)的部分。這部分各廠商和不同國(guó)家的配備都存在差異，比如幾個(gè)取款箱，幾個(gè)存款箱，具體怎么運(yùn)作；另外可能還有用于存放異常鈔票的回收箱。

計(jì)算機(jī)部分——標(biāo)準(zhǔn)的計(jì)算機(jī)配置，據(jù)說(shuō)配置一般并不主流；如人們所知，現(xiàn)如今的ATM機(jī)絕大部分采用定制的Windows XP系統(tǒng)，前幾年歐美普遍還有采用IBM OS/2系統(tǒng)的ATM機(jī)（這是個(gè)已經(jīng)有近30年歷史的操作系統(tǒng)）；

更多外圍模塊——如驗(yàn)鈔模板（現(xiàn)如今的存取款一體機(jī)，取款過(guò)程也會(huì)進(jìn)行驗(yàn)鈔）、讀卡器（讀銀行卡的）、憑條/日志打印機(jī)、鍵盤(pán)、攝像頭；

網(wǎng)絡(luò)連接——ATM機(jī)一般并不會(huì)連接互聯(lián)網(wǎng)，但肯定是需要連接銀行自家的網(wǎng)絡(luò)的。

從這幾個(gè)組成部分下手，攻擊ATM機(jī)的思路也就有了。

思路一：直接把ATM機(jī)搬走——從鈔箱入手

企業(yè)服務(wù)器安全，講究保證服務(wù)器的物理安全，就是不能讓壞人靠近或直接接觸到服務(wù)器。ATM機(jī)天然不具備這種屬性，它需要面向普通人，有些甚至是露天的，所以直接搬走聽(tīng)起來(lái)是個(gè)很不錯(cuò)的主意。

問(wèn)題是，現(xiàn)在這種方案越來(lái)越不可行。我國(guó)某些ATM機(jī)周?chē)侨摷芙Y(jié)構(gòu)，水泥地面下面還埋了鋼板，設(shè)備底部就焊接在鋼板上；穿墻型的ATM機(jī)，周?chē)膲w也是鋼結(jié)構(gòu)，要拉走基本就等于撕裂墻體；更不用說(shuō)很多取款機(jī)還有專(zhuān)門(mén)的值班人員，還有外部監(jiān)控?cái)z像頭。

就算真的把ATM機(jī)拉走了，內(nèi)部鈔箱的開(kāi)鎖過(guò)程據(jù)說(shuō)也是異常痛苦的。國(guó)內(nèi)的內(nèi)部鈔箱起碼需要經(jīng)過(guò)2把鎖，外加轉(zhuǎn)盤(pán)密碼，里面還有振動(dòng)探測(cè)。其外部鋼板厚，人為暴力破壞幾乎是不大可能的。

如果真的致力于這種方案，成本和收益算起來(lái)實(shí)在不夠劃算。聽(tīng)說(shuō)有這能耐的人，也不會(huì)去覬覦ATM機(jī)里面區(qū)區(qū)幾十萬(wàn)鈔票。

思路二：從網(wǎng)絡(luò)連接入手

ATM機(jī)攻擊出現(xiàn)至今，從網(wǎng)絡(luò)入手的案例不多。原因很簡(jiǎn)單，如國(guó)內(nèi)的ATM機(jī)只接入銀行自己的網(wǎng)絡(luò)。如果真的有人搞定了銀行的內(nèi)部網(wǎng)絡(luò)，何苦要去搞ATM機(jī)上那點(diǎn)小錢(qián)呢？

文首我們就談到了Barnaby Jack的事跡。實(shí)際上他在那次黑客大會(huì)上演示了兩種攻擊方案，第一種是針對(duì)Tranax所造ATM機(jī)的。這種攻擊方案利用的是Windows CE系統(tǒng)的遠(yuǎn)程監(jiān)控特性，這項(xiàng)特性通過(guò)互聯(lián)網(wǎng)或者撥號(hào)就能訪問(wèn)——所以在演示的時(shí)候，Jack沒(méi)有去碰ATM機(jī)，就實(shí)現(xiàn)了遠(yuǎn)程修改程序的目的，但不知道演示的時(shí)候，Jack走的是否是互聯(lián)網(wǎng)這條線，抑或只是內(nèi)部局域網(wǎng)。 

利用身份認(rèn)證繞過(guò)漏洞，可以通過(guò)網(wǎng)絡(luò)往ATM機(jī)上傳軟件甚至覆蓋整個(gè)固件。所以Jack所做的是在系統(tǒng)中安裝了名為Scrooge的惡意程序。這個(gè)程序會(huì)潛伏在后臺(tái)，可以通過(guò)ATM機(jī)的鍵盤(pán)，或者插入特定控制板來(lái)激活。激活出現(xiàn)的隱藏菜單，攻擊者就可操作令其吐錢(qián)了。另外其他人在這臺(tái)ATM機(jī)取錢(qián)的話，Scrooge還能獲取銀行卡的磁條數(shù)據(jù)。

不過(guò)Tranax很快就建議用戶禁用遠(yuǎn)程系統(tǒng)，這個(gè)問(wèn)題也就被封堵了。

思路三：ATM Skimmer——從外圍模塊入手

這算是真正靠譜的方案：ATM Skimmer也就是ATM分離器。我們?nèi)TM機(jī)取錢(qián)的時(shí)候，喇叭廣播反復(fù)強(qiáng)調(diào)：“請(qǐng)注意插卡口是否有異常情況”。這里所謂的“異常情況”就是指ATM Skimmer了：即偽造一個(gè)插卡口，獲取卡片信息。

不過(guò)ATM Skimmer的奧義并不在于讓ATM機(jī)吐錢(qián)，或者取走鈔箱內(nèi)的錢(qián)，而在于在神不知鬼不覺(jué)的情況下，記錄一般用戶的信用卡信息。實(shí)際上，ATM Skimmer更像是個(gè)木馬，不過(guò)它是硬件木馬。比如說(shuō)，偽造個(gè)假的數(shù)字鍵盤(pán)，在這個(gè)鍵盤(pán)內(nèi)將用戶輸入的密碼記錄下來(lái)。 

比較典型的ATM Skimmer應(yīng)該是在ATM機(jī)極其隱蔽的位置再加個(gè)攝像頭，這種部署方式也比較靈活。我們先前曾經(jīng)分享過(guò)此類(lèi)ATM Skimmer（點(diǎn)擊這里）。上面這臺(tái)ATM機(jī)位于印尼，攻擊者是從在鍵盤(pán)上方的遮擋部分入手的。

仔細(xì)研究其內(nèi)部，會(huì)發(fā)現(xiàn)里面隱藏了攝像頭、主板、SD存儲(chǔ)卡，還有內(nèi)置的電池——攝像頭由于對(duì)著鍵盤(pán)（最近對(duì)焦距離還真是近），也就能夠拍下前來(lái)取錢(qián)用戶輸入密碼時(shí)的動(dòng)作了。

而且實(shí)際上，這個(gè)ATM Skimmer還顯得比較高端：內(nèi)部芯片集成了運(yùn)動(dòng)偵測(cè)傳感器，這樣攝像頭就能在僅偵測(cè)到有動(dòng)作的時(shí)候才拍攝了，自然也就省電了很多（畢竟這個(gè)小裝置需要自己供電）。

另外它還配有麥克風(fēng)，通過(guò)按鍵聲音是可以記錄到有效信息的——而且還可以聽(tīng)一聽(tīng)取錢(qián)的聲音，以便判斷目標(biāo)信用卡是否有攻擊價(jià)值（此人有錢(qián)沒(méi)錢(qián)的問(wèn)題）…...

傳說(shuō)中那臺(tái)整機(jī)偽造的ATM Skimmer

我們聽(tīng)過(guò)最高端的ATM Skimmer應(yīng)該是整機(jī)偽造：這年頭都有人偽造銀行，ATM機(jī)當(dāng)然也可以偽造。這個(gè)案例出現(xiàn)在巴西，攻擊者更為完整地偽造了一臺(tái)ATM機(jī)，然后將之放到原有ATM機(jī)上面，感覺(jué)為了獲取卡片信息，這些人還真是蠻拼的。

相比2010年，Barnaby Jack讓ATM機(jī)吐鈔票，可考最早的ATM Skimmer至少比他早2年，所以ATM Skimmer這種攻擊手法的歷史顯得更悠久一些。

思路四：植入惡意程序——從計(jì)算機(jī)部分入手

說(shuō)到Barnaby Jack在黑客大會(huì)上讓ATM機(jī)吐鈔票一事，上面在談到利用網(wǎng)絡(luò)這一點(diǎn)時(shí)，其本質(zhì)主要還是對(duì)Windows CE系統(tǒng)的利用。在演講中，他另外還演示了針對(duì)一臺(tái)Triton制造ATM機(jī)的攻擊，這臺(tái)設(shè)備采用的也是Windows CE系統(tǒng)，基本思路就是純粹從系統(tǒng)下手。

如果設(shè)備不接入互聯(lián)網(wǎng)，要搞定ATM機(jī)中的的計(jì)算機(jī)，肯定要接近ATM機(jī)本身。在Jack的演示中，它首先用鑰匙打開(kāi)了ATM機(jī)的前面板，然后給ATM機(jī)接上USB設(shè)備——里面就有Scrooge惡意程序，利用了系統(tǒng)允許未授權(quán)程序執(zhí)行的安全漏洞。那個(gè)時(shí)候，人類(lèi)的安全意識(shí)還沒(méi)有現(xiàn)在這么強(qiáng)，所以Jack演示的這種ATM機(jī)都采用統(tǒng)一的鎖，據(jù)說(shuō)花10美元就能在網(wǎng)上買(mǎi)到鑰匙，一把就能開(kāi)所有的Triton ATM機(jī)。

Triton公司后來(lái)還特別就這么問(wèn)題狡辯了一番，他們說(shuō)是客戶要求一把鎖到底的，這樣便于管理；但如果以后誰(shuí)有需要的話，可以換上安全級(jí)別高得多的鎖。

鑰匙孔

就這件事很容易總結(jié)出，若考慮僅從操作系統(tǒng)入手，令其感染惡意程序。在沒(méi)有網(wǎng)絡(luò)的情況下，只能靠物理接觸，也就是如果你要給ATM機(jī)種馬的話，至少你得去接近它，并且要打開(kāi)它，然后通過(guò)物理接口向其中傳入惡意代碼才行。

實(shí)際上，這的確是令A(yù)TM機(jī)感染惡意程序的一般途經(jīng)，你得修行開(kāi)鎖或者鉆孔技能，又或者你自己混進(jìn)銀行中去。除了上面談到的Scrooge之外，針對(duì)現(xiàn)如今在ATM機(jī)上廣泛流行的Windows XP，比較典型的惡意軟件像是前年和去年很流行的Ploutus和Tyupkin。

其中Ploutus是通過(guò)手機(jī)和ATM機(jī)連接（USB接口），啟用手機(jī)的USB共享網(wǎng)絡(luò)連接，安裝Ploutus惡意軟件；再向這臺(tái)手機(jī)發(fā)送特定的2條短信（一條包含有效的激活I(lǐng)D，用以激活?lèi)阂獬绦?；另一條就是取錢(qián)的具體指令了），手機(jī)會(huì)將短信以TCP/UDP包轉(zhuǎn)發(fā)給ATM機(jī)，惡意程序的網(wǎng)絡(luò)包監(jiān)視模塊能夠接收TCP/UDP包，然后Ploutus就會(huì)執(zhí)行、ATM機(jī)吐錢(qián)（感染方式其實(shí)還是跟網(wǎng)絡(luò)有關(guān)）。

如若將Ploutus進(jìn)一步延伸，可以在ATM機(jī)內(nèi)部再放個(gè)黑盒子（此處手機(jī)就是黑盒子），便于進(jìn)行遠(yuǎn)程控制（發(fā)送短信亦算是遠(yuǎn)程控制），甚至偽造一個(gè)銀行處理中心連接到ATM機(jī)，雖然這么做的難度甚大，卻連惡意程序都不需要植入。嚴(yán)格說(shuō)這也是需要配合網(wǎng)絡(luò)連接的，隱蔽性并不好，所以這類(lèi)方式并不常見(jiàn)。

這里再提一個(gè)去年出現(xiàn)的ATM惡意程序：GreenDispenser，它在行為上比Ploutus要高級(jí)：激活的時(shí)間有限制，而且需要進(jìn)行雙重身份認(rèn)證才會(huì)吐錢(qián)，也就是說(shuō)只有攻擊者本人才能操作。

另一方面，GreenDispenser當(dāng)然也需要物理接觸ATM機(jī)才能植入，但它的傳播方式主要是通過(guò)維護(hù)ATM機(jī)的工程師，或者是賄賂銀行內(nèi)部管理人員——是不是感覺(jué)輕松了很多，不用再偷摸拋去ATM機(jī)硬干了。

這部分最后特別值得一提的是，絕大部分ATM惡意程序的分析報(bào)告都會(huì)談到一個(gè)叫XFS中間件的東西。這是因?yàn)锳TM機(jī)的系統(tǒng)，結(jié)構(gòu)大致上是底層為操作系統(tǒng)，往上是底層驅(qū)動(dòng)和廠商應(yīng)用，再往上一層就是XFS了，這是個(gè)統(tǒng)一跨平臺(tái)接口——銀行的應(yīng)用就建基于此。絕大部分供應(yīng)商有他們自己的XFS管理器，惡意程序都是通過(guò)它和ATM機(jī)產(chǎn)生交互的。所以卡巴斯基今年才在呼吁對(duì)XFS標(biāo)準(zhǔn)進(jìn)行修訂，引入更安全的驗(yàn)證方式。

思路四延伸：利用Windows XP的功能——仍從計(jì)算機(jī)部分入手

還有一些技術(shù)含量并不高的手法也是從Windows XP系統(tǒng)部分入手的。這招在對(duì)付國(guó)內(nèi)某些銀行終端設(shè)備非常有效。

不過(guò)它們主要針對(duì)的實(shí)際上是服務(wù)終端機(jī)，就是我們經(jīng)常能在ATM取款點(diǎn)看到的，除了ATM機(jī)之外用于查詢各種業(yè)務(wù)信息的設(shè)備。現(xiàn)如今的ATM機(jī)則已經(jīng)不大能玩這一招了，畢竟這樣的方法實(shí)在是老少咸宜、男女通吃啊。比如直接加載網(wǎng)頁(yè)的畫(huà)面，是否感覺(jué)有可乘之機(jī)呢？

看看下面這臺(tái)ATM機(jī)，操作過(guò)后就變成這樣了，Windows XP原貌出現(xiàn)。

或者你可能還會(huì)看到這樣的畫(huà)面：

甚至還有人利用銀行系統(tǒng)本身的一些操作特性，竟然呼出了維護(hù)菜單：

| ATM機(jī)安全在持續(xù)完善中

其實(shí)說(shuō)到這兒，根據(jù)ATM機(jī)的組成，ATM攻擊思路就已經(jīng)說(shuō)完了，而且的確我們見(jiàn)過(guò)的ATM攻擊也就這幾類(lèi)。但實(shí)際上還有一些是利用銀行系統(tǒng)的一些BUG或者漏洞，或者配合攻擊其他銀行相關(guān)的設(shè)備來(lái)進(jìn)行更為復(fù)雜攻擊。比如說(shuō)去年年末俄羅斯的一種“反向ATM攻擊”技術(shù)，攻擊者先在ATM機(jī)存錢(qián)（分別存入5000、10000和30000），然后再馬上取出來(lái)，打印交易收據(jù)。

收據(jù)上會(huì)有取錢(qián)金額，和一個(gè)支付參考號(hào)。然后黑客使用這個(gè)信息，對(duì)境外的一臺(tái)PoS機(jī)終端執(zhí)行逆向操作，令銀行認(rèn)為取款操作已取消，這樣就可以反復(fù)取錢(qián)了——在此過(guò)程中，在PoS機(jī)看來(lái)似乎是貨物被退回，或者支付被拒。嚴(yán)格地說(shuō)，這種攻擊涉獵范圍早就不限于ATM機(jī)了，而且還需要攻擊者掌握大量PoS機(jī)的遠(yuǎn)程訪問(wèn)，以及多人配合跨境操作。

說(shuō)了這么多，總結(jié)ATM機(jī)攻擊的主要手法無(wú)非兩種：ATM Skimmer和惡意程序感染（或者說(shuō)從ATM機(jī)的計(jì)算機(jī)部分入手）?？雌饋?lái)后者需要?jiǎng)拥降男乃济黠@更多，一不小心還會(huì)被逮到，至少除了惡意程序本身之外，如何物理連接ATM機(jī)，需要更為周密的安排。

而ATM Skimmer從目標(biāo)上看，甚至都不在鈔箱內(nèi)的鈔票，而在銀行卡信息獲取?？梢?jiàn)要搶個(gè)ATM機(jī)還真是不怎么方便啊。

不過(guò)隨著ATM機(jī)安全問(wèn)題的日益暴露，ATM機(jī)供應(yīng)商和銀行也在想辦法彌補(bǔ)。比如說(shuō)國(guó)內(nèi)大量ATM機(jī)開(kāi)始支持無(wú)卡取款或操作，或者通過(guò)手機(jī)掃描二維碼實(shí)現(xiàn)取款，這種設(shè)計(jì)至少是可以很大程度預(yù)防ATM Skimmer攻擊的。

招商銀行的某些ATM機(jī)還推出了“刷臉取款”功能，這實(shí)際上是加強(qiáng)身份驗(yàn)證機(jī)制的表現(xiàn)，對(duì)于那些會(huì)記錄銀行卡磁條芯片信息、密碼的惡意程序而言，這也具備了加強(qiáng)安全性的作用。

另外，很多ATM機(jī)內(nèi)部的安全性也在加固，比如采用加密硬盤(pán)驅(qū)動(dòng)器，可一定程度預(yù)防惡意程序植入。

如果能在ATM機(jī)上阻止未經(jīng)授權(quán)的媒介啟動(dòng)，如CDROM、U盤(pán)等，或者像上面說(shuō)的修訂XFS標(biāo)準(zhǔn)，并加密通訊過(guò)程，都可以進(jìn)一步有效預(yù)防問(wèn)題發(fā)生。

至于為什么ATM機(jī)這些年來(lái)始終沒(méi)有發(fā)生大規(guī)模的攻擊事件，原因大抵上應(yīng)該就是其可操作性并沒(méi)有那么強(qiáng)，論賺錢(qián)可能還不如做釣魚(yú)網(wǎng)站或惡意程序來(lái)得便利，成本收益外加風(fēng)險(xiǎn)，大概并不足以吸引太多人加入。

雷鋒網(wǎng)注：本文原創(chuàng)作者歐陽(yáng)洋蔥，由FreeBuf投稿雷鋒網(wǎng)發(fā)布，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。