![\"Three](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/04\/06134408\/sas-atm-malware-featured-2.jpg\")
<\/p>\nSie haben vielleicht bemerkt, dass wir Diebstahl mithilfe von Geldautomaten m\u00f6gen. Nein, wir hacken sie nicht selber, aber wenn irgendjemand anderes das tut, st\u00fcrzen wir uns direkt auf den Fall. Auf der SAS 2017, der zentralen Veranstaltung des Jahres zu Cybersicherheit, haben die Kaspersky Lab-Experten Sergey Golovanov und Igor Soumenkov \u00fcber drei interessante F\u00e4lle berichtet.<\/p>\n
<\/p>\n
Der Geldautomat war leer. Das Untersuchungsteam der Bank fand keine b\u00f6sartigen Dateien, keine fremden Fingerabdr\u00fccke, keine Spuren physischer Eingriffe am Ger\u00e4t, keine hinzugef\u00fcgten Leiterplatten oder andere Ger\u00e4tschaften, die dazu benutzt werden konnten, die Kontrolle \u00fcber die Maschine zu \u00fcbernehmen. Sie fanden auch kein Geld mehr.<\/p>\n
Was die Bankangestellten fanden, war lediglich eine Datei, \u201ekl.txt\u201c. Sie \u00fcberlegten sich, dass \u201ekl\u201c etwas mit \u201eKL\u201c zu tun haben k\u00f6nnte \u2014 wie Sie wissen, Kaspersky Lab \u2014 also setzten sie sich mit uns in Verbindung und dadurch waren wir pl\u00f6tzlich damit befasst, in dem Fall zu ermitteln.<\/p>\n
Wir mussten irgendwo mit der Untersuchung beginnen, also begannen unsere Ermittler damit, sich die Datei anzusehen. Auf der Grundlage der Inhalte der Logdatei konnten sie eine YARA-Regel entwickeln \u2014 YARA ist ein Tool zum Aufsp\u00fcren von Malware; im Grunde genommen starteten sie eine Anfrage nach \u00f6ffentlich zug\u00e4nglichen Speicherorten von Malware. Sie nutzten es, um ein Original der Malware zu finden, und nach einem Tag erbrachte die Suche ein paar Ergebnisse: eine DLL \u201etv.dll\u201c genannt, die zu dieser Zeit bereits zweimal da drau\u00dfen beobachtet worden war, einmal in Russland und einmal in Kasachstan. Das reichte aus, um damit zu beginnen, den Knoten zu entwirren.<\/p>\n
Eine gr\u00fcndliche Untersuchung der DLL versetzte unsere Ermittler in die Lage, ein Reverse-Engineering des Angriffs durchzuf\u00fchren und zu verstehen, wie er tats\u00e4chlich ausgef\u00fchrt worden war und ihn sogar in unserem Versuchslabor an einem Testgeldautomaten mit Falschgeld zu wiederholen. Hier die Ergebnisse.<\/p>\n
3\u00a0M\u00f6glichkeiten, einen Geldautomaten auszurauben: ferngesteuert, halb ferngesteuert und mit Gewalt<\/p>Tweet<\/a><\/blockquote>\n
ATMitch bei der Arbeit<\/strong><\/h3>\n
Der Angriff begann mit der Entdeckung einer bekannten Sicherheitsl\u00fccke durch die T\u00e4ter und dem Eindringen auf den Server der ausgesuchten Bank. (Hatten wir nicht darauf hingewiesen, dass das Updaten der Software ein Muss ist? Dies ist ein typisches Beispiel).<\/p>\n
Die Angreifer nutzten Programme mit offenem Quellcode und \u00f6ffentlich zug\u00e4nglichen Tools, um die Computer in der Bank zu infizieren, aber die Malware, die sie entwickelt hatten, verbarg sich im Speicher der Computer und nicht auf ihren Festplatten. Dort gab es keine Dateien, sodass der Angriff nur sehr schwer zu entdecken war \u2014 er war grunds\u00e4tzlich unsichtbar f\u00fcr die Sicherheitsvorkehrungen. Schlimmer noch, fast alle Spuren der Malware verschwanden, als das System neu gestartet wurde.<\/p>\n
Die Angreifer richteten dann eine Verbindung zu ihrem Kommando- und Kontrollserver ein und das erm\u00f6glichte ihnen, ferngesteuert Software auf die Geldautomaten zu installieren.<\/p>\n
\n#ATMITCH<\/a> criminals leave the nicest notes for #security<\/a> researchers\u2026 #banking<\/a> #malware<\/a> #ATM<\/a> #TheSAS2017<\/a> pic.twitter.com\/SDgOFBTxFT<\/a><\/p>\n
\u2014 Kaspersky (@kaspersky) April 3, 2017<\/a><\/p><\/blockquote>\n