ビットコイン ATM の顧客が、実際にはアプリだった動画のアップロードによってハッキングされた

オペレーティング システムの歴史には、軍事的な駄洒落がたくさんあります。

Unix には、 メジャーナンバー、システム内のディスク ドライブ、キーボード、Web カメラなどのデバイスの大群を整理します。

マイクロソフトはかつて、明らかに無能な人々と戦っていた 一般的な失敗、あなたの DOS ディスクを読み込もうとして失敗するのを定期的に目撃されていました。

Linuxには断続的に問題があります 大佐パニック、誰の 外観 通常は、データの損失、ファイル システムの損傷の可能性、緊急に電源を切ってコンピュータを再起動する必要が生じます。

そして、チェコの暗号通貨会社は、あなたが合理的に期待するような信頼性を得ていないようです。 一般的なバイト数.

実際に、 一般的なバイト数 .

一度は不幸です

2022 年 XNUMX 月に、General Bytes がどのように 倒れた犠牲者 リモートの攻撃者が顧客の ATM サーバーをだまして「新しいシステムのセットアップ」構成ページにアクセスできるようにするサーバー側のバグに。

iPhone または Android デバイスをリフラッシュしたことがある場合は、元のセットアップを実行した人がデバイスを制御できることを知っているでしょう。特に、プライマリ ユーザーを構成し、新しいロック コードを選択できるためです。またはプロセス中のパスフレーズ。

ただし、最新の携帯電話は、オペレーティング システム、アプリ、およびシステム設定を再インストールして再構成する前に、古いユーザーのすべてのデータを含む、デバイスの古いコンテンツを強制的に消去することも知っているでしょう。

つまり、最初からやり直すことはできますが、最後のユーザーが中断したところから引き継ぐことはできません。それ以外の場合は、システムの再フラッシュ (または DFU、略して デバイスのファームウェアのアップグレード、Apple が呼んでいるように) 前の所有者のファイルを取得します。

しかし、General Bytes ATM サーバーでは、攻撃者を「ゼロから始める」セットアップ画面に誘導した不正なアクセス パスは、最初に侵入したデバイスのデータを無力化しませんでした…

…そのため、詐欺師はサーバーの「新しい管理者アカウントをセットアップする」プロセスを悪用して、別の管理者ユーザーを作成する可能性があります。 既存システム.

TWICEは油断に見える

前回、General Bytes は、犯罪者が悪意のあるコードを埋め込んでいない、いわゆるマルウェアレス攻撃に見舞われました。

2022 年の攻撃は、基盤となるオペレーティング システムとサーバー ソフトウェアに手を加えずに、単に悪意のある構成変更によって組織化されました。

今回、攻撃者は より従来のアプローチ インプラントに依存していたもの: 悪意のあるソフトウェア、または マルウェア つまり、セキュリティの抜け穴を介してアップロードされ、「代替コントロール パネル」と呼ばれるものとして使用されました。

簡単に言えば、詐欺師はバックドアをインストールできるバグを発見したため、その後許可なく侵入することができました。

General Bytes は次のように述べています。

攻撃者は、端末がビデオをアップロードし、batm ユーザー権限を使用して実行するために使用するマスター サービス インターフェイスを介して、独自の Java アプリケーションをリモートでアップロードすることができました。

ある種のコミュニティ ブログ サイトまたはソーシャル メディア サービスであるかのように、ATM にリモートの画像とビデオのアップロード オプションが必要な理由はわかりません…

…しかし、Coin ATM サーバー システムにはまさにそのような機能が含まれているようです。おそらく、広告やその他の特別オファーを、ATM を訪れた顧客に直接宣伝できるようにするためです。

見た目とは異なるアップロード

残念ながら、信頼できる (または少なくとも認証されたソースからの) アップロードであっても、アップロードを許可するサーバーは、いくつかの点に注意する必要があります。

• アップロードは、外部からすぐに読み戻せないステージング領域に書き込む必要があります。 これにより、信頼できないユーザーが、あなたのブランドを偽装しているために正当に見える URL を介して、サーバーを無許可または不適切なコンテンツの一時的な配信システムに変えないようにすることができます。
• アップロードは、許可されているファイルの種類と一致することを確認するために精査する必要があります。 これにより、悪意のあるユーザーがアップロード領域にスクリプトやプログラムを散らかして、後続の訪問者に単に提供するのではなく、後でサーバー上で実行される可能性があるため、ブービートラップを防ぐことができます.
• アップロードは、実行可能な最も制限されたアクセス許可で保存する必要があります。 ブービー トラップまたは破損したファイルが誤って実行されたり、システムのより安全な部分からアクセスされたりすることさえないようにします。

General Bytes はこれらの予防策を講じていなかったようで、その結果、攻撃者はプライバシーの侵害や暗号通貨の盗用など、さまざまなアクションを実行できました。

悪意のあるアクティビティには、次のようなものがあるようです。ホット ウォレットや取引所の資金にアクセスするために使用される認証コードの読み取りと解読ホットウォレットからの送金; ユーザー名とパスワード ハッシュのダウンロード。 顧客の暗号化キーを取得する; 2FA をオフにする。 イベントログへのアクセス。

何をするか？

• General Bytes Coin ATM システムを実行している場合、 会社のものを読む 違反報告、いわゆる IoC を探す方法を説明します (侵入の痕跡)、およびパッチが公開されるのを待つ間に何をすべきかについて説明します。

同社は、スタンドアロンのコインATMサーバーと独自のクラウドベースのシステムの両方が影響を受けたことを確認したことに注意してください.

興味深いことに、General Bytes は次のようになると報告しています。 「クラウドサービスを閉鎖する」、そしてそれを主張する 「独自のスタンドアロン サーバーをインストールする必要があります」. (レポートには期限が記載されていませんが、同社はすでに移行サポートを積極的に提供しています。)

同社を他のほとんどの現代のサービス指向企業とは反対の方向に導く方向転換の中で、General Bytes は次のように主張します。 「複数のオペレーターに同時にアクセスを許可するシステムをセキュリティで保護することは、理論的にも (そして実際的にも) 不可能であり、そのうちの何人かは悪者です。」

• 最近、General Bytes ATM を使用したことがある場合は、 何をすべきか、また資金が危険にさらされているかどうかについては、暗号通貨取引所または取引所に連絡してアドバイスを求めてください。

• あなたがオンライン サービスの世話をしているプログラマーなら、 自己ホスト型かクラウド ホスト型かにかかわらず、アップロードとアップロード ディレクトリに関する上記のアドバイスを読んで注意してください。

• あなたが暗号通貨愛好家なら、 いわゆるクリプトコインの隠し場所をできるだけ少なくしてください。 ホットウォレット.

ホット ウォレットは基本的に、すぐに (おそらく自動的に) 取引する準備ができている資金であり、通常、自分の暗号化キーを他の誰かに預けるか、XNUMX つまたは複数のウォレットに一時的に資金を転送する必要があります。

---

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/