驅動程序對 ATM 和 POS 系統進行致命攻擊

在過去的幾年中，ATM和POS系統已經成為許多網絡犯罪分子的目標，導致了一些歷史上規模最大的信用卡和金錢盜竊事件。盡管攻擊者有各種各樣的方法侵入這些機器，但研究人員現在警告說，這些機器驅動程序中的漏洞可能會導致更持久的破壞性攻擊。

Eclypsium是一家專門從事設備安全的公司，該公司的研究人員評估了設備驅動程序的安全性，這些程序允許應用程序與系統的硬件組件對話并利用它們的能力。在過去的一年里，他們的研究項目“螺紋驅動程序”已經確定了來自至少20個不同硬件供應商的40個Windows驅動程序的漏洞和設計缺陷，突出了這種攻擊表面的普遍問題。

大多數人認為Windows是在服務器，工作站和便攜式計算機的上下文中使用的，但這些并不是運行Microsoft操作系統的唯一設備。Windows還廣泛應用于世界各地的ATM、POS終端機、自助服務站、醫療系統和其他類型的專門設備。這些設備通常在受監管的行業和環境中使用，因此通常很難更新，因此更新需要通過嚴格的測試和認證。使它們長時間脫機可能導致業務中斷和財務損失。

Eclypsium的研究人員在一份新報告中說，針對ATM的攻擊可以采取多種形式：

“攻擊者可以通過破壞連接到該設備的銀行網絡，設備與卡處理器的連接或通過訪問ATM的內部計算機來傳播惡意軟件。與傳統攻擊很相似，攻擊者或惡意軟件通常需要提升攻擊者的特權，以更深入地訪問系統。這就需要使用惡意或易受攻擊的驅動程序。通過利用不安全驅動程序的功能，攻擊者或他們的惡意軟件可以獲得新的特權，訪問信息，并最終竊取金錢或客戶數據。”

Diebold Nixdorf ATM驅動程序中的漏洞

作為他們研究項目的一部分，Eclypsium研究人員發現了Diebold Nixdorf
（用于銀行和零售業的最大設備制造商之一）的ATM模型中使用的驅動程序中的漏洞。該驅動程序使應用程序可以訪問該系統的各種x86 I / O端口。

ATM本質上是具有專用外圍設備的計算機，例如讀卡器，PIN pad，網絡接口或通過各種通信端口連接的現金匣。通過通過易受攻擊的驅動程序訪問I / O端口，攻擊者可以潛在地讀取ATM中央計算機與PCI連接的設備之間交換的數據。

此外，這個驅動程序可以用于更新BIOS，即在操作系統啟動之前啟動并初始化硬件組件的計算機的低級固件；攻擊者可以部署BIOS rootkit，該rootkit將在重新安裝操作系統后幸免，從而導致高度持久的攻擊。

據研究人員所知，尚未在任何實際攻擊中利用此漏洞，但基于與Diebold的討論，他們認為在其他ATM模型和POS系統中使用了相同的驅動程序。Diebold與研究人員合作，并于今年早些時候發布了補丁。

研究人員說：“就惡意驅動程序的功能而言，這只是冰山一角。” “我們之前的研究已經確定了驅動程序，這些驅動程序除了可以進行任意I / O訪問外，也有能力讀/寫內存，特定模型，調試，和控制寄存器，以及任意PCI訪問。可能會對ATM或POS設備造成毀滅性的影響。鑒于尚未仔細分析這些設備中的許多驅動程序，因此它們很可能包含未發現的漏洞。”

潛在的濫用

ATM和POS系統都已成為黑客攻擊的目標。有一些像Carbanak這樣的網絡犯罪組織，專門攻入銀行等金融機構，并逐漸進入它們的ATM網絡。這些小組是有條理和耐心的，可以在網絡中度過數月，直到他們了解受害者的工作流程及其系統如何工作。當他們決定最終停止搶劫時，他們通常在晚上發送錢從被黑的ATM機中收取現金。

與Carbanak相關的另一個名為FIN7的組織專門從事入侵POS系統的攻擊，并以酒店和零售領域的公司為目標，以竊取支付卡數據。最近，該組織被觀察到以Best買禮品卡為幌子，通過普通郵件向目標發送惡意USB加密狗。

就連勒索軟件團伙也對這類系統產生了興趣，因為鎖定這些系統可能會促使受影響的組織支付贖金。Symantec上周報道說，目前運營中最先進的勒索軟件組織Sodinokibi開始掃描POS軟件和他們可以進入的環境中的系統。

像Eclypsium發現的這樣的驅動程序漏洞并沒有為黑客提供對系統的初始訪問權限，但是一旦他們通過其他方法獲得了最初的立足點，這些漏洞可以用來升級他們的特權。正如Carbanak，FIN7和其他網絡犯罪集團反復證明的那樣，獲得訪問網絡和系統的權限不一定很難，而且可以通過多種方式實現。

Eclypsium的首席研究員Jesse Michael告訴CSO：“一旦你發現了進入ATM計算機的漏洞，你就可以利用它獲得額外的特權和訪問一些子接口，這樣你就可以做更有趣的事情。” “這給了你一些能力去與其他設備，比如你想要訪問的外設進行一些操作，作為攻擊過程的一部分，所以這基本上是這些防護層的失效。”

對于某些高級網絡犯罪集團而言，將BIOS內的惡意軟件隱藏起來以使其免受OS重新安裝的影響可能非常有用，因為這意味著它們可以反復攻擊目標。更具有破壞性的攻擊也可能導致設備無法啟動。Michael說:“這個驅動程序與芯片組的SPI控制器通信以安裝BIOS更新，因此，如果您只想讓系統停止引導，那么就可以向引導塊寫入垃圾。”

過去的勒索軟件攻擊會加密電腦的主引導記錄，從而使計算機無法啟動，直到受害者支付贖金為止。要從這種攻擊中恢復過來，需要人工干預，并且對于可以在地理位置上分散的ATM而言，這意味著大量的停機時間。在POS系統的情況下，如果一個商店或多個商店中的所有終端突然停止工作，也可能意味著財務損失。

還有2012年襲擊Saudi Aramco的Shamoon攻擊，以及2014年針對Sony Pictures的攻擊，都被認為是朝鮮所為，其目的是擾亂正常的商業運營。這種破壞性攻擊可以被用來操縱公司的股價并從中獲利。

Eclypsium的研究突出表明，設備驅動程序在設計上缺乏安全性，因為發現的大多數問題是體系結構缺陷而不是代碼漏洞。Michael認為，這些問題通常是開發人員滿足業務需求的結果，例如應用程序與硬件組件進行通訊的能力，而沒有適當的控制。

Michael說:“這些案例中的大多數都是一些人沒有真正考慮過一個功能被濫用的后果。”“這個功能對他們的特定任務很有用，但他們沒想過其他人是否會把它用于不良目的或做其他事情。”