美国US-CERT网站发布了由国土安全部、财政部、FBI联合发布的技术预警（Technical Alert），发现了朝鲜政府在ATM提现方案中使用的恶意软件——FASTCash。美国政府将朝鲜政府的恶意网来活动称为HIDDEN COBRA，更多HIDDEN COBRA的活动参见https://www.us-cert.gov/hiddencobra。

预警中提到了响应行为的IoC、推荐的缓解技术和报告应急事件的信息。如果用户或管理员检测到与FASTCash相关的恶意软件相关的活动，应立即标记并报告给相关机构。

介绍

HIDDEN COBRA 2016年底就开始使用FASTCash技术来攻击非洲和亚洲的银行。截止预警信息发布，美国政府尚未确认FASTCash事件影响的美国的机构。

FASTCash方案可以入侵银行的支付交换应用服务器来促使欺诈交易。美国政府评估称HIDDEN COBRA会继续使用FASTCash技术攻击有远程利用漏洞的零售支付系统。

据可靠估计，HIDDEN COBRA已窃取上亿美元。2017年的一起事件中，HIDDEN COBRA使全球30多个不同国家的ATM同时出钞。2018年，HIDDEN COBRA又使全球23多个不同国家的ATM同时出钞。

HIDDEN COBRA攻击银行的零售支付系统基础设施可造成跨国境的欺诈ATM取现。HIDDEN COBRA在被入侵的交换应用服务器上配置和应用了合法脚本来拦截和恢复欺诈交易的响应消息的金融请求消息。虽然感染向量还不清楚，所有入侵的交换应用服务器都运行着不再支持（补丁修复）的IBM Advanced Interactive eXecutive (AIX)操作系统版本，目前没有证据显示HIDDEN COBRA成功利用了AIX操作系统的漏洞。

HIDDEN COBRA通过ISO 8583（financial transaction messaging金融交易信息）标准的知识和其他技术来攻击系统。HIDDEN COBRA应该是再目标交换应用服务器上使用了ISO 8583库。恶意攻击者使用该库来帮助翻译金融请求消息和合理构造伪造的金融响应消息。

图 1: FASTCash方案剖析

日志文件显示HIDDEN COBRA再配置目标服务器进行认证时修正了一些错误。基于对受感染系统的分析，分析人员认为HIDDEN COBRA使用的脚本会检查特定主帐号（primary account numbers，PAN）的入财务请求消息（inbound financial request messages）。脚本只会为与期望的主账号匹配的请求消息生成欺诈金融响应消息。大多数用于伪造交易的账号的账户活动都很少或者是0余额的。

据详细分析，HIDDEN COBRA拦截了交易信息来组织拒绝消息离开交换机，并用GenerateResponse*函数来批准交易。响应消息是从与CheckPan()验证匹配的特定PAN发送的。

技术分析

HIDDEN COBRA的FASTCash活动使用了恶意的Windows可执行应用、命令行工具应用和其他文件来执行交易和与金融系统进行交互。用于入侵受害者网络的初始感染向量目前尚不清楚，但HIDDEN COBRA在针对银行雇员的攻击中使用了鱼叉式钓鱼攻击。HIDDEN COBRA使用基于Windows的恶意软件来探测银行的网络，以找出支付交换应用服务器。

HIDDEN COBRA使用合法凭证来通过银行网络访问交换应用服务器。这个模式说明银行网络中受感染的系统被用于访问和入侵目标支付交换应用服务器。

虽然HIDDEN COBRA使用的一些文件是合法的，但HIDDEN COBRA将合法文件用作恶意用途。IBM AIX可执行文件被用于执行代码注册和将库注入当前运行的进程。一个AIX可执行样本提供的输出函数，可以使应用在使用ISO8583标准的金融系统上执行交易。

成功入侵银行的支付交换应用服务器后，HIDDEN COBRA使用合法脚本（服务器上的命令行工具应用）来启用欺诈行为，以响应正常的支付交换应用服务器活动。图1描绘了欺诈行为的模式。脚本会通过攻击商业过程来改变服务器期望的行为，而不是利用技术过程。

在分析与已知的FASTCash事件相关联的日志文件时，分析人员发现了以下共同点：

· 用模式/tmp/.ICE-unix/e <PID>      /tmp.ICE-unix/<filename>m.so <argument>来执行.so命令

· 目标机构不同，进程id、文件名、参数都有所不同。Tmp目录含有X window system session信息。

· 执行脚本：./sun      <PID>/tmp/.ICE-unix/engine.so  <argument>

· 文件命名为sun并在/tmp/.ICE-unix directory中运行。

另外，命令会使用ISO 8583库的inject (mode 0)或eject (mode 1)参数：

· m.so      [参数“0” or “1”]

· m1.so      [参数“0” or “1”]

· m2.so      [参数“0” or “1”]

· m3.so      [参数“0” or “1”]

检测和响应

NCCIC建议管理员检查所有有root权限的用户的bash历史日志。管理员可以在bash历史日志中找出用户输入的命令，这也表示交换应用服务器上脚本的执行。管理员应记录和监控所有命令。

美国支付建议网络管理员检查与HIDDEN COBRA FASTCash活动相关的IOC，找出企业网络中是否有相应的IOC，如果有就需要采取必要的措施来移除恶意软件。

解决方案

针对含有零售支付系统的机构的缓解建议

· 对芯片和个人身份证加密验证。

· 隔离支付系统基础设施。

· 对操作环境进行合理分段。

· 加密传输的数据。

· 监控异常行为作为分层安全的一部分。

· 针对含有ATM或POS设备的机构。

· 应用借记卡的芯片和PIN要求。

· 要求并验证发行方财务请求响应消息上的消息验证代码。

· 为Europay、Mastercard和Visa交易执行授权响应密码验证。

针对所有机构的通用建议

NCCIC建议用户和管理员遵循以下最佳实践来增强其组织系统的安全性：

· 及时更新防病毒签名和引擎。

· 及时更新操作系统补丁。

· 禁用文件和打印机共享服务。如果需要这些服务，要使用强密码或Active Directory身份验证。

· 限制用户安装和运行不需要的软件应用程序的能力（权限）。除非必要，否则不要将用户添加到本地管理员组。

· 实施强密码策略并要求定期更改密码。

· 注意各种类型的电子邮件，即使发件人和附件都已知。

· 在工作站上启用个人防火墙，并将其配置为拒绝未经请求的连接请求。

· 禁用工作站和服务器上不必要的服务。

· 扫描并删除可疑的电子邮件附件，确保扫描的附件是“真实文件类型”（即扩展名与文件头匹配）。

· 监控用户的网络浏览习惯；限制其访问可能造成网络安全风险的内容的网站。

· 使用可移动设备（例如USB、外部驱动器、CD）时要注意。

· 执行从Internet下载的所有软件前先扫描。

· 保持最新的网络安全威胁态势感知。

· 实施适当的ACL