본문으로 바로가기

Just a couple of weeks after the Spanish-language ATM malware known as Ploutus was discovered making the rounds in Mexico, computer security software company Symantec has discovered an updated English-language version.

2주 전 스페인어 ATM 악성코드로 알려진 Ploutus가 컴퓨터 보안 소프트웨어 업체인 시만텍이 영어 버전으로 업데이트 된 것을 멕시코에서 발견하였다.


Aside from the language, the only real differences are that the binary name has changed to ‘Ploutus.exe' from ‘PloutusService.exe,' and it has been changed from a standalone program to a modular architecture, Satnam Narang, a researcher with Symantec Security Response, told SCMagazine.com on Monday.

언어 이외의 차이점으로 "PloutusService.exe" 이름에서 'Ploutuse.exe'로 바뀌었고, 모듈 형 아키텍쳐에서 독립 실행 형 프로그램으로 변경되었음을 Symantec Security Response 연구원 Satnam Narang이 월요일에 SCMagazine.com에서 말했다.


Otherwise, the mechanism for crooks is mostly the same. Essentially, the malware is transferred into the ATM through the CD-ROM drive, attackers send a 16-digit command code using the ATM keypad, a dispatcher sends a 33-digit instruction to Ploutus through the command line, and then a timer is scheduled to dispense funds.

그 외에, 범죄에 대한 매커니즘은 대부분 동일하다. 기본적으로 악성코드는 CD-ROM 드라이브를 통해 ATM으로 전송한다. 공격자는 ATM 키패드를 사용하여 16자리 명령 코드를 전송하고, 명령을 통한 Ploutus의 행동은 디스패처로 33 자리 명령을 보낸서 타이머를 통해 자금을 분배하도록 계획한다.


The malware will only spit out money within the first 24 hours of activation, Narang said.

Narang은 악성코드가 활성화 된지 24시간 안에 돈을 빼낸다고 말했다.


Aside from placing great physical protections on ATMs, so as to avoid allowing criminals access to the money machine's CD-ROM drive, to defend against Ploutus Symantec has offered up some additional best practices for owners.

이외에도 범죄자가 현금 지급기의 CD-ROM 드라이브에 액세스 할 수 없도록, 현금 지급기에 물리적 보호를 배치하여 Ploutus에 대한 시만텍의 방어는 소유자를 위한 몇 가지 추가 모범 사례를 제공하고 있다.


First, configure the BIOS boot order to only boot from the hard disk, and not a CD, DVD or USB, Narang said. He added that ATM vendors should secure the BIOS with a password so that attackers cannot reconfigure the boot options, consider removing hardware that allows the BIOS to read and start from the boot, and ensure that AV signatures and security solutions are up to date.

Narang은 우선적으로 CD, DVD 또는 USB가 아닌 오직 하드 디스크로만 부팅하도록 BIOS를 구성하도록 권유했다. 그는 추가로 ATM 공급 업체가 암호로 BIOS를 보호하여 공격자가 부팅 옵션을 재구성 할 수 없도록 해야하며, BIOS를 읽어 부팅을 시작 할 수 있기에 하드웨어를 제거하는 것도 고려할 수 있다고 말했다. 그리고 백신과 보안 솔루션이 최신 버전인지 확인해야 한다고 말한다.


“This discovery underlines the increasing level of cooperation between traditional physical-world criminals with hackers and cyber criminals,” Narang said, adding that ATMs in off-site locations, such as malls and convenience stores, are more likely at risk. “With the ever increasing use of technology in all aspects of security, traditional criminals are realizing that to carry out successful heists, they now require another set of skills that wasn't required in the past.”

Narang은 "이 발견은 사이버 범죄자 및 해커와 함께 물리적 세계의 범죄자 간의 협력이 증가하는 것을 강조한다" 고 말했고, 추가로 쇼핑몰과 편의점 등 외각의 ATM 기기가 위험할 가능성이 있다고 말했다. "보안의 모든 측면에서 기술 사용 증가와 함께 기존의 범죄자가 성공적으로 강탈을 수행하기 위해 과거에 필요하지 않았던 다른 기술의 집합이 필요하게 되었다."


Russian security firm Safensoft discovered late in September that Ploutus was infecting ATMs in Mexico, and not long after information security company Trustwave released its own findings on the malware.

러시아 보안 회사인 Safensoft는 Ploutus가 멕시코에 있는 현금 인출기를 감염한 것을 9월 말에 발견했다. 그리고 오래된 정보 보안 업체 Trustwave가 이 악성코드에 대한 연구 결과를 발표했다.


Reference

원문 -

http://www.scmagazine.com/atm-malware-ploutus-updated-with-english-language-version/article/318336/

시만텍의 영어버전 Ploutus 악성코드 분석 블로그 게시글 - 

http://www.symantec.com/connect/blogs/backdoorploutus-reloaded-ploutus-leaves-mexico

최초 ATM 악성코드 기사 - 

http://www.scmagazine.com/new-malware-enables-attackers-to-take-money-directly-from-atms/article/316409/

Safensoft 최초 ATM 악성코드 게시글 - 

http://www.safensoft.com/archiv/n/774/1778

Trustwave 최초 ATM 악성코드 분석 게시글 - 

http://blog.spiderlabs.com/2013/10/having-a-fiesta-with-ploutus.html



댓글을 달아 주세요

티스토리 툴바