比特币 ATM 客户被实际上是应用程序的视频上传黑客攻击

操作系统历史上有很多军事双关语。

著名的 Unix 有一大批人员被称为 主要号码，他们在您的系统中组织大量设备，例如磁盘驱动器、键盘和网络摄像头。

微软曾经与明显无能的人作斗争 一般故障，经常被发现试图读取您的 DOS 磁盘并失败。

Linux 间歇性地遇到问题 恐慌上校，谁的 外貌 紧随其后的通常是数据丢失、文件系统可能损坏以及迫切需要关闭电源并重新启动计算机。

一家捷克加密货币公司似乎并没有从一个叫做 通用字节.

其实， 通用字节 是公司本身的名称，遗憾的是，这家公司对不受欢迎的入侵和未经授权访问加密货币资金并不陌生。

一次是不幸

2022 年 XNUMX 月，我们写了 General Bytes 如何获得 堕落的受害者 到一个服务器端漏洞，远程攻击者可以在该漏洞中欺骗客户的 ATM 服务器，让他们能够访问“设置全新系统”配置页面。

如果您曾经刷新过 iPhone 或 Android 设备，您就会知道执行原始设置的人最终可以控制设备，特别是因为他们可以配置主要用户并选择全新的锁码或过程中的密码。

然而，您也会知道，现代手机在重新安装和重新配置操作系统、应用程序和系统设置之前，会强制擦除设备的旧内容，包括所有旧用户的数据。

换句话说，你可以重新开始，但你不能接管最后一个用户离开的地方，否则你可以使用系统刷新（或 DFU，简称 设备固件升级，正如 Apple 所说的那样）以获取先前所有者的文件。

然而，在 General Bytes ATM 服务器中，使攻击者进入“从头开始”设置屏幕的未经授权的访问路径并没有首先中和被渗透设备上的任何数据……

…所以骗子可以滥用服务器的“设置新的管理帐户”过程来创建一个额外的管理员用户 现有系统.

两次看起来像粗心大意

上一次，General Bytes 遭受了所谓的无恶意软件攻击，犯罪分子没有植入任何恶意代码。

2022 年的攻击是通过恶意配置更改而精心策划的，底层操作系统和服务器软件未受影响。

这一次，攻击者使用了 更传统的方法 依赖于植入物：恶意软件，或 恶意软件 简而言之，它是通过安全漏洞上传的，然后用作您所谓的“替代控制面板”。

用简单的英语来说：骗子发现了一个漏洞，可以让他们安装后门，这样他们就可以在未经许可的情况下进入。

正如 General Bytes 所说：

攻击者能够通过终端用于上传视频的master服务接口远程上传自己的Java应用，并使用batm用户权限运行。

我们不确定为什么 ATM 需要远程图像和视频上传选项，就好像它是某种社区博客网站或社交媒体服务一样……

......但似乎硬币 ATM 服务器系统确实包含这样的功能，大概是为了可以直接向访问 ATM 的客户推广广告和其他特别优惠。

上传的不是他们看起来的样子

不幸的是，任何允许上传的服务器，即使它们来自受信任的（或至少经过身份验证的来源）也需要注意几件事：

• 上传需要写入暂存区，在那里它们不能立即从外部读回。 这有助于确保不可信的用户无法通过看起来合法的 URL 将您的服务器变成临时传送系统，用于未经授权或不适当的内容，因为它具有您品牌的认可。
• 上传需要经过审查，以确保它们与允许的文件类型相匹配。 这有助于阻止流氓用户通过在上传区域散布脚本或程序来诱捕您的上传区域，这些脚本或程序可能最终会在服务器上执行，而不是简单地提供给后续访问者。
• 上传需要以最严格的访问权限来保存， 这样诱杀或损坏的文件就不会无意中执行，甚至不会从系统的更安全部分访问。

General Bytes 似乎没有采取这些预防措施，因此攻击者能够执行范围广泛的隐私破坏和加密货币窃取操作。

恶意活动显然包括：读取和解密用于访问热钱包和交易所资金的验证码； 从热钱包发送资金； 下载用户名和密码哈希； 检索客户的加密密钥； 关闭 2FA； 并访问事件日志。

怎么办呢？

• 如果您运行 General Bytes Coin ATM 系统， 阅读公司的 违规报告，它会告诉您如何查找所谓的 IoC（妥协指标)，以及在等待补丁发布时应该做什么。

请注意，该公司已确认独立的 Coin ATM 服务器和它自己的基于云的系统（您向 General Bytes 支付 0.5% 的所有交易费用，以换取它们为您运行服务器）都受到了影响。

有趣的是，General Bytes 报告说它将是 “关闭其云服务”，并坚持认为 “你需要安装自己的独立服务器”. （该报告没有给出最后期限，但该公司已经在积极提供迁移支持。）

General Bytes 的转变将使公司走向与大多数其他当代服务型公司相反的方向，General Bytes 坚持认为 “理论上（实际上）不可能保护一个系统同时授予多个操作员访问权限，其中一些操作员是不良行为者。”

• 如果您最近使用过 General Bytes ATM， 联系您的一个或多个加密货币交易所，以获取有关如何操作以及您的任何资金是否存在风险的建议。

• 如果您是负责在线服务的程序员， 无论是自托管还是云托管，请阅读并注意我们上面关于上传和上传目录的建议。

• 如果您是加密货币爱好者， 尽可能少地保存你的加密货币 热钱包.

热钱包本质上是随时准备交易的资金（可能是自动的），通常需要您将自己的加密密钥委托给其他人，或者暂时将资金转移到他们的一个或多个钱包中。

---

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/