新款ATM恶意软件Alice 可对抗动态分析但目前需要物理接触主机-CSDN博客

趋势科技（Trend Micro）安全公司的研究人员警告称，新发现的恶意软件家族主要针对ATM机（自动取款机），唯一目的就是要掏空ATM机保险箱里的现金。

这款恶意软件被称为“Alice”，是迄今最大的ATM威胁。Alice没有窃取信息的功能，甚至无法通过ATM机的数字键操控。Alice最早发现于2016年11月，但被认为自2014年起就已存在。趋势科技表示，虽然这类威胁已存在九年多时间，Alice只是至今见到的第8个ATM恶意软件家族。

使用恶意软件要求物理连接到ATM机。趋势科技表示，恶意软件被设计成钱骡，以窃取受攻击ATM机内的所有现金。去年，恶意软件GreenDispenser就是这样做的。

然而，与GreenDispenser不同，这种新威胁并没有连接ATM机的密码键盘，可通过远程桌面协议（RDP）来使用，但趋势科技表示，目前并没有证据表明此类使用方法。

恶意软件分析显示，Alice（二进制版本信息中包含此名称）中有一个名为“VMProtect”的商业化、现成的软件包/混淆器，可防止调试器内部的执行。此外，该恶意软件可在执行前进行环境检查，如果发现不是运行在ATM机上，则会自行终止（它会检查多个注册表键，并需要在系统上安装特定的DLL）。

在机器上运行时，Alice在根目录下对两个文件进行写操作：名为xfs_supp.sys、大小为5 MB+的空文件和名为TRCERR.LOG的错误日志文件。接着，它连接到XFS环境中的分配器（currencydispenser1），如果PIN码正确，它将显示各个钞箱的信息，并取走机器里的现金。

由于恶意软件只连接currencydispenser1，但并未尝试使用机器的密码键盘，研究人员认为，攻击者只是通过物理方式打开ATM机并通过USB或光盘进行感染。并且，研究人员还表示，攻击者将键盘与ATM机的主板进行连接，并通过这种连接来操控恶意软件。

安全研究人员发现，Alice支持以下三个通过具体PIN码发布的命令：用于丢弃卸载文件的命令、用于退出程序并运行卸载/清除程序的命令，以及用于打开“操作面板”的命令。操作面板中可显示ATM机中的现金信息。

PIN Code	Description of Command
1010100	Decrypts and drops file sd.bat in current directory. This batch file is used to cleanup/uninstall Alice.
0	Exits the program and runs sd.bat . Also deletes xfs_supp.sys .
specific 4-digit PIN based on ATM’s terminal ID	Opens the “operator panel”.

operator%20panel.png