سه روش برای شکست بدافزار Plotous-D

سه روش برای شکست بدافزار Plotous-D

در ژانویه 2011 شرکت آمریکایی FireEye -فعال در حوزه امنیت - در وبلاگ خود پستی در مورد ویروس پلوتوس-دی منتشر کرد و از آن به عنوان " قویترین خانواده بدافزار ATM مشاهده شده در سالهای اخیر " یاد نمود.
از آنجا که این بدافزار از چند مولفه پلتفرم نرم افزار KAL استفاده می کند مورد توجه ویژه مشتریان KAL و همه علاقمندان صنعت خودپرداز قرار گرفت .
در این مقاله برداشت  شرکت KAL از این بد افزار و توصیه هایی برای شرکت های فعال در حوزه ATM ارائه می گردد.
دیسپنس پول:
پلوتوس –دی با دو مشخصه تعریف می گردد:
1.است از دیسپنسر ATM سازگار با XFS ، پول پرداخت کند.
2.قادر است با استفاده از فرامین از راه دور طراح خود ، زمان و مقدار پول دیسپنس شده را کنترل کند.
پلوتوس-دی از کامپوننت های نرم افزار KAL برای اجرای فرمان دیسپنس از طریق XFS خودپرداز استفاده می کند.
FireEye مدعی است کامپوننت های نرم افزار KAL از یک ATM مسروقه برداشته شده است. در برخی از کشورها ATM ها نه تنها برای خالی کردن صندوق آن مورد سرقت قرار می گیرد بلکه برای برداشتن و تجزیه و تحلیل نرم افزار نیز این کار صورت می گیرد.
کنترل دیسپنس:
کد پیچیده ای در بد افزار پلوتوس-دی ، دیسپنسر ATM را کنترل می کند به نحوی که جمع آوری پول توسط همدست سارق از سوی طراح و مغز متفکر آن از راه دور کنترل می شود. این روش طراح را مطمئن می سازد که  همدست وی یک دفعه فکر جمع آوری همه پولها و گریختن از معرکه نکند بلکه هر بار پولها را به فرد اصلی تحویل داده و سپس به دستگاه در شعبه بعدی برای جمع آوری پول های آن مراجعه کند.
این نوع کنترل روی دیسپنسر نیاز به اتصال کی برد یا گوشی به ATM دارد. طراح یا سردسته این سرقت از این وسیله برای فعال یا غیرفعال کردن دفعات عمل دیسپنس و کنترل زمانهای دیسپنس ( برای اطمینان از اینکه پول توسط همکار وی جمع آوری می شود و نه رهگذز) و مقدار آن استفاده می کند.
انتقال بدافزار به ATM :
جنبه مهمی از پلوتوس-دی که توسط FireEye به آن اشاره نشده این است که چگونه روی ATM نصب می شود. به نظر KAL بدافزار فقط می تواند در ATM هایی که امنیت حفاظت شده ندارند نصب شود.
برای اینکه بد افزار بتواند بطور موفقیت آمیزی نصب و کار کند ، این موارد مورد نیاز است:
1.فرد مهاجم باید دسترسی فیزیکی به ATM و PC  آن داشته باشد. بد افزار نیاز به یک پورت USB برای آپلود و یک پورت USB یا کی برد برای کنترل دارد.
2.پورت های USB  باید باز (Unlock) باشد تا حافظه فلش به آن قابل اتصال باشد. در غیر اینصورت بدافزار ممکن است از طریق یک حمله پیچیده از طریق شبکه وارد شود. اما برای روش دوم تاکنون شواهدی پیدا نشده است.
3.بدافزار باید خودش را در ATM نصب و اجرا کند.
برای جلوگیری از موفقیت بد افزار برای نصب و فعالیت فقط یکی از موارد زیر مورد نیاز است:
1.PC با امنیت فیزیکی ؛ مادربرد، پورتهای USB و کی برد بایستی از دسترسی آسان محافظت شده باشد.
2.قفل کردن پورتهای USB برای محافظت در برابر اتصال کول دیسک
3.وایت لیست سازی نرم افزار برای اطمینان از اینکه فقط برنامه های مجاز روی ATM قابل اجرا باشد.
4.رمز نگاری کامل هارد دیسک
دلیل این که بدافزارهایی مانند پلوتوس-دی قابلیت عرض اندام پیدا می کنند بخاطر این است که هارد دیسک می تواند دزدیده شود و نرم افزار قانونی مورد سوء استفاده قرار گیرد. رمزنگاری کلی هارد دیسک این را غیر ممکن می سازد.
توصیه به سرویس دهندگان ATM:
پلوتوس-دی نه تنها مشتریان KAL بلکه همه ATM ها را تهدید می کند. آن گونه که FireEye بیان می کند همه ATM های سازگار با XFS در ریسک مواجهه با پلوتوس-دی قرار دارند و می بایست همانطور که در بالا توضیح داده شد محافظت شوند.
توصیه به مشتریان KAL:
ضروری است که مشتریان KAL قابلیت Kalignite Security Lockdown را روی همه ATM ها فعال کنند. این شامل همه ویژگیهای فوق الذکر به همراه قابلیت های دیگر برای کمک به دفع حملات سایر بدافزارهاست.

تاریخ درج: 1395/11/07
ارتباط با ما