실제 앱인 동영상 업로드로 비트코인 ​​ATM 고객 해킹

운영 체제 역사에는 군사적 말장난이 많이 있습니다.

유닉스는 유명하게도 전공번호, 시스템에서 디스크 드라이브, 키보드 및 웹캠과 같은 장치 대대를 구성합니다.

마이크로소프트는 한때 명백히 무능한 일반적인 실패, 누가 정기적으로 DOS 디스크를 읽으려고 시도하다가 실패하는 것을 목격했습니다.

Linux에 간헐적으로 문제가 있습니다. 패닉 대령, 누구의 외관 일반적으로 데이터 손실, 파일 시스템 손상 가능성, 긴급하게 전원을 끄고 컴퓨터를 재부팅해야 하는 상황이 뒤따릅니다.

그리고 체코의 암호화폐 회사는 귀하가 다음과 같은 성격에서 합리적으로 기대할 수 있는 종류의 신뢰성을 얻지 못하는 것 같습니다. 일반 바이트.

사실은, 일반 바이트 슬프게도 원치 않는 침입과 암호 화폐 자금에 대한 무단 액세스에 대해 낯선 사람이 아닌 회사 자체의 이름입니다.

한번은 불행이다

2022년 XNUMX월에 우리는 General Bytes가 어떻게 타락한 희생자 원격 공격자가 고객의 ATM 서버를 속여 "새로운 시스템 설정" 구성 페이지에 대한 액세스 권한을 부여할 수 있는 서버 측 버그입니다.

iPhone 또는 Android 장치를 다시 플래시한 적이 있다면 원래 설정을 수행한 사람이 장치를 제어하게 된다는 것을 알 수 있습니다. 특히 기본 사용자를 구성하고 새로운 잠금 코드를 선택하기 때문입니다. 또는 프로세스 중에 암호를 입력합니다.

그러나 최신 휴대폰은 운영 체제, 앱 및 시스템 설정을 다시 설치하고 재구성하기 전에 이전 사용자의 모든 데이터를 포함하여 장치의 이전 콘텐츠를 강제로 지운다는 사실도 알고 계실 것입니다.

즉, 다시 시작할 수는 있지만 마지막 사용자가 중단한 부분을 이어받을 수는 없습니다. 그렇지 않으면 시스템 재플래시(또는 DFU, 줄임말 장치 펌웨어 업그레이드, Apple에서 부르는 대로) 이전 소유자의 파일을 가져옵니다.

그러나 General Bytes ATM 서버에서는 공격자를 "처음부터 시작" 설정 화면으로 유도한 무단 액세스 경로가 먼저 침투한 장치의 데이터를 무력화하지 않았습니다...

…그래서 사기꾼들은 서버의 "새 관리 계정 설정" 프로세스를 악용하여 기존 시스템.

두번은 부주의한듯

지난 번 General Bytes는 범죄자들이 악성 코드를 삽입하지 않은 멀웨어 없는 공격을 받았습니다.

2022년 공격은 기본 운영 체제와 서버 소프트웨어를 건드리지 않고 악의적인 구성 변경을 통해 간단하게 조정되었습니다.

이번에는 공격자가 사용한 보다 전통적인 접근 방식 임플란트에 의존하는 악성 소프트웨어 또는 악성 코드 간단히 말해서 보안 허점을 통해 업로드된 다음 "대체 제어판"이라고 부르는 것으로 사용되었습니다.

쉬운 말로: 사기꾼은 백도어를 설치하여 허가 없이 들어갈 수 있는 버그를 발견했습니다.

General Bytes는 다음과 같이 말했습니다.

공격자는 비디오를 업로드하고 batm 사용자 권한을 사용하여 실행하기 위해 터미널에서 사용하는 마스터 서비스 인터페이스를 통해 원격으로 자신의 Java 애플리케이션을 업로드할 수 있었습니다.

ATM이 일종의 커뮤니티 블로깅 사이트나 소셜 미디어 서비스인 것처럼 원격 이미지 및 비디오 업로드 옵션이 필요한 이유를 잘 모르겠습니다.

...그러나 Coin ATM Server 시스템에는 이러한 기능이 포함되어 있어 광고 및 기타 특별 제안을 ATM을 방문하는 고객에게 직접 홍보할 수 있습니다.

보기와 다른 업로드

불행하게도 업로드를 허용하는 모든 서버는 신뢰할 수 있는(또는 적어도 인증된 소스)에서 온 경우에도 다음과 같은 몇 가지 사항에 주의해야 합니다.

• 업로드는 외부에서 즉시 다시 읽을 수 없는 스테이징 영역에 기록되어야 합니다. 이렇게 하면 신뢰할 수 없는 사용자가 브랜드 인증을 가지고 있기 때문에 합법적으로 보이는 URL을 통해 무단 또는 부적절한 콘텐츠에 대한 임시 전달 시스템으로 서버를 전환할 수 없습니다.
• 업로드가 허용된 파일 형식과 일치하는지 확인하기 위해 업로드를 심사해야 합니다. 이렇게 하면 다음 방문자에게 제공되는 것이 아니라 나중에 서버에서 실행될 수 있는 스크립트나 프로그램으로 업로드 영역을 어지럽혀 악의적인 사용자가 업로드 영역을 부비 트랩하는 것을 방지할 수 있습니다.
• 업로드는 가능한 가장 제한적인 액세스 권한으로 저장해야 합니다. 부비 트랩되거나 손상된 파일이 실수로 실행되거나 시스템의 더 안전한 부분에서 액세스되는 것을 방지합니다.

General Bytes는 이러한 예방 조치를 취하지 않은 것으로 보이며, 그 결과 공격자는 광범위한 개인 정보 파괴 및 암호화폐 추출 작업을 수행할 수 있었습니다.

악의적인 활동에는 분명히 다음이 포함됩니다. 핫 월렛 및 거래소의 자금에 액세스하는 데 사용되는 인증 코드 읽기 및 해독; 핫 월렛에서 자금을 송금합니다. 사용자 이름 및 암호 해시 다운로드 고객의 암호화 키 검색 2FA 끄기; 이벤트 로그에 액세스합니다.

무엇을해야 하는가?

• General Bytes Coin ATM 시스템을 운영한다면, 회사를 읽다 위반 보고서, 소위 IoC(타협의 지표) 및 패치가 게시될 때까지 기다리는 동안 수행할 작업.

회사는 독립 실행형 코인 ATM 서버와 자체 클라우드 기반 시스템(서버를 실행하는 대가로 모든 거래에 대해 General Bytes에 0.5% 부과금을 지불하는 곳)이 모두 영향을 받았다는 것을 확인했습니다.

흥미롭게도 General Bytes는 "클라우드 서비스 중단", 그리고 주장 "독립형 서버를 직접 설치해야 합니다.". (보고서에는 기한이 나와 있지 않지만 회사는 이미 마이그레이션 지원을 적극적으로 제공하고 있습니다.)

General Bytes는 대부분의 다른 현대 서비스 지향 회사와 반대 방향으로 회사를 전환하게 될 전환점에서 다음과 같이 주장합니다. "일부는 악의적인 행위자인 동시에 여러 운영자에게 액세스 권한을 부여하는 시스템을 확보하는 것은 이론적으로(그리고 실질적으로) 불가능합니다."

• 최근에 General Bytes ATM을 사용하셨다면, 암호화폐 거래소에 연락하여 무엇을 해야 하는지, 자금이 위험에 처해 있는지 여부에 대한 조언을 구하십시오.

• 온라인 서비스를 담당하는 프로그래머라면 자체 호스팅이든 클라우드 호스팅이든 업로드 및 업로드 디렉토리에 대한 위의 조언을 읽고 주의하십시오.

• 암호화폐 매니아라면, 귀하의 암호화폐 보관함을 가능한 한 적게 보관하십시오. 핫 지갑.

핫 지갑은 본질적으로 즉시(아마도 자동으로) 거래할 준비가 된 자금이며 일반적으로 자신의 암호화 키를 다른 사람에게 맡기거나 자금을 하나 이상의 지갑으로 일시적으로 이체해야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/