卡巴斯基实验室研究人员发现了一种名为“ATMitch”的新型无文件ATM恶意软件，该恶意软件可让攻击者非法取款，然后可自行删除记录。那么，卡巴斯基是如何发现这个ATMitch恶意软件？攻击者如何分发它？


Nick Lewis：与一般使用系统相比，高安全性环境通常执行更严格的安全要求。另外，即使在不同类型的高安全环境（例如银行环境），基于设备功能也需要不同级别的安全性。银行的标准台式电脑必须安全，同时还需要提供一般功能以确保日常员工使用。

另一方面，ATM功能应该限于ATM任务，例如提款或者存款，并只能通过有限的ATM接口访问。同时，银行可通过限制ATM接口可提供的功能来最大限度降低ATM这部分攻击面。

ATM接口是ATM安全性最明显的方面，ATM需要多级别安全来抵御物理和网络攻击。物理安全通常受成本限制，而网络安全也受成本限制，并需要远程管理。

卡巴斯基实验室主要安全研究人员Sergey Golovanov和Igor Soumenkov介绍了利用ATMitch恶意软件的ATM攻击。这种攻击使用的方法似乎与高级持续威胁攻击团伙GCMAN和Carbanak使用的方法相似。

当卡巴斯基实验室被银行业客户要求调查恶意软件时，卡巴斯基发现了这个ATMitch恶意软件。这个过程本应该很简单，即通过端点保护软件提交潜在可疑二进制文件样本，以查看该供应商检测到任何恶意软件，或者银行应该联系卡巴斯基要求进行额外的分析。

卡巴斯基描述称，ATMitch恶意软件攻击的第一阶段需要获取银行系统的访问权限，然后使用开源或其他公开可用的公用程序来控制系统以及攻击其他ATM。由于它在内存中运行，这种无文件恶意软件会在受感染系统重启后消失。

卡巴斯基报道称这个攻击中还涉及一台域控制器，这可能是攻击者用来分发恶意软件到目标ATM的部分方法，尽管他们还报告称攻击者通常会物理攻击ATM，在设备钻孔以执行所需的命令来激活ATMitch恶意软件并提取现金。

目前尚不清楚域控制器仅限于管理ATM还是用于整个银行，但银行似乎有完全独立的管理基础设施来管理ATM以及一般使用端点。也许可关联不同环境之间的日志来检测任何可疑行为，但对ATM的远程访问似乎应该比一般使用端点更受限制。