近期泰国ATM提款机攻击与RIPPER恶意软件有关

         安全公司FireEye的专家分析了RIPPER恶意软件，他们认为攻击者在攻击泰国ATM提款机中使用了该恶意软件。
        本月初，一个黑客组织使用恶意软件从泰国ATM提款机盗取1200万泰铢。
        专家表示，RIPPER恶意软件于2016年8月23日首次上传到在线扫描服务VirusTotal。这个恶意代码通过泰国的IP地址上传。
        专家将此恶意软件称为“RIPPER”，因为研究人员发现恶意软件样本中有“ATMRIPPER”字样，这表明该软件使用的是前所未见的技术。
         来自中欧的网络犯罪团伙从泰国21台ATM提款机盗取超过1200万泰铢。
         泰国央行（The Central Bank of Thailand，BoT）向所有银行发出警告。黑客似乎是利用安全漏洞盗取ATM提款机的现钞。 同一黑客团伙还盗取了台湾的银行ATM提款机，盗取台币7000万（折合220万美元）。
         警告发出后，泰国政府储蓄银行(Government Savings Bank, GSB)关闭了3000台存在安全漏洞的ATM提款机。
火眼表示，RIPPER恶意软件借用了其它ATM恶意软件的多个功能：
        1、针对同一品牌的ATM提款机。
        2、盗取现金的技术遵循与Padpin（Tyupkin）、SUCEFUL和GreenDispenser一样的策略。
        3、与SUCEFUL类似，能控制读卡器设备读取或按需吐卡。
        4、能禁用本地网络接口，与Padpin恶意软件的功能类似。
        5、与GreenDispenser类似，使用“sdelete”安全删除工具移除取证证据。
        6、每笔提现限制为40张钞票，这是ATM提款机供应商允许的最大取现金额。
        RIPPER恶意软件还具有新功能，比如，专门针对三大主要ATM厂商。
        RIPPER恶意软件通过插入特别制造的ATM卡（带有EMV芯片）与ATM提款机交互，攻击者通过这种机制验证自己。这种机制不常见，Skimmer也使用这种方法。
        为了保持持久性，RIPPER恶意软件使用独立的服务或伪装成合法的ATM进程。
        当RIPPER作为服务安装，首先终止“dbackup.exe”过程，然后用二进制替换，之后安装持续服务“DBackup Service”。
        RIPPER可以通过以下参数停止或启动“DBackup Service”：“启动服务（service start）” 或 “停止服务（service stop）”
        RIPPER还支持以下命令行开关：
        /autorun:将休眠10分钟，然后在幕后运行，等待交互。
        /install: RIPPER将替换ATM上运行的ATM软件，步骤如下：
        一经执行，RIPPER将通过本机Windows“taskkill”工具终止三大目标ATM厂商内存中运行的进程。
        火眼表示，RIPPER将检查目标ATM厂商有关的目录内容，并用自身取代合法的可执行文件。这种技术允许该恶意软件维护合法程序名，从而避免被怀疑。
         当RIPPER恶意软件在没有任何参数的情况执行，它执行一系列操作，比如与本地外围设备连接（例如自动提款机、读卡器和Pinpad）。
         然后威胁通过恶意EMV芯片检测卡，开启计时器允许攻击者通过Pinpad控制ATM提款机。
        攻击者可以执行多个恶意操作，包括清除日志并关闭ATM本地网络接口。