驱动程序对 ATM 和 POS 系统进行致命攻击

在过去的几年中，ATM和POS系统已经成为许多网络犯罪分子的目标，导致了一些历史上规模最大的信用卡和金钱盗窃事件。尽管攻击者有各种各样的方法侵入这些机器，但研究人员现在警告说，这些机器驱动程序中的漏洞可能会导致更持久的破坏性攻击。

Eclypsium是一家专门从事设备安全的公司，该公司的研究人员评估了设备驱动程序的安全性，这些程序允许应用程序与系统的硬件组件对话并利用它们的能力。在过去的一年里，他们的研究项目“螺纹驱动程序”已经确定了来自至少20个不同硬件供应商的40个Windows驱动程序的漏洞和设计缺陷，突出了这种攻击表面的普遍问题。

大多数人认为Windows是在服务器，工作站和便携式计算机的上下文中使用的，但这些并不是运行Microsoft操作系统的唯一设备。Windows还广泛应用于世界各地的ATM、POS终端机、自助服务站、医疗系统和其他类型的专门设备。这些设备通常在受监管的行业和环境中使用，因此通常很难更新，因此更新需要通过严格的测试和认证。使它们长时间脱机可能导致业务中断和财务损失。

Eclypsium的研究人员在一份新报告中说，针对ATM的攻击可以采取多种形式：

“攻击者可以通过破坏连接到该设备的银行网络，设备与卡处理器的连接或通过访问ATM的内部计算机来传播恶意软件。与传统攻击很相似，攻击者或恶意软件通常需要提升攻击者的特权，以更深入地访问系统。这就需要使用恶意或易受攻击的驱动程序。通过利用不安全驱动程序的功能，攻击者或他们的恶意软件可以获得新的特权，访问信息，并最终窃取金钱或客户数据。”

Diebold Nixdorf ATM驱动程序中的漏洞

作为他们研究项目的一部分，Eclypsium研究人员发现了Diebold Nixdorf
（用于银行和零售业的最大设备制造商之一）的ATM模型中使用的驱动程序中的漏洞。该驱动程序使应用程序可以访问该系统的各种x86 I / O端口。

ATM本质上是具有专用外围设备的计算机，例如读卡器，PIN pad，网络接口或通过各种通信端口连接的现金匣。通过通过易受攻击的驱动程序访问I / O端口，攻击者可以潜在地读取ATM中央计算机与PCI连接的设备之间交换的数据。

此外，这个驱动程序可以用于更新BIOS，即在操作系统启动之前启动并初始化硬件组件的计算机的低级固件；攻击者可以部署BIOS rootkit，该rootkit将在重新安装操作系统后幸免，从而导致高度持久的攻击。

据研究人员所知，尚未在任何实际攻击中利用此漏洞，但基于与Diebold的讨论，他们认为在其他ATM模型和POS系统中使用了相同的驱动程序。Diebold与研究人员合作，并于今年早些时候发布了补丁。

研究人员说：“就恶意驱动程序的功能而言，这只是冰山一角。” “我们之前的研究已经确定了驱动程序，这些驱动程序除了可以进行任意I / O访问外，也有能力读/写内存，特定模型，调试，和控制寄存器，以及任意PCI访问。可能会对ATM或POS设备造成毁灭性的影响。鉴于尚未仔细分析这些设备中的许多驱动程序，因此它们很可能包含未发现的漏洞。”

潜在的滥用

ATM和POS系统都已成为黑客攻击的目标。有一些像Carbanak这样的网络犯罪组织，专门攻入银行等金融机构，并逐渐进入它们的ATM网络。这些小组是有条理和耐心的，可以在网络中度过数月，直到他们了解受害者的工作流程及其系统如何工作。当他们决定最终停止抢劫时，他们通常在晚上发送钱从被黑的ATM机中收取现金。

与Carbanak相关的另一个名为FIN7的组织专门从事入侵POS系统的攻击，并以酒店和零售领域的公司为目标，以窃取支付卡数据。最近，该组织被观察到以Best买礼品卡为幌子，通过普通邮件向目标发送恶意USB加密狗。

就连勒索软件团伙也对这类系统产生了兴趣，因为锁定这些系统可能会促使受影响的组织支付赎金。Symantec上周报道说，目前运营中最先进的勒索软件组织Sodinokibi开始扫描POS软件和他们可以进入的环境中的系统。

像Eclypsium发现的这样的驱动程序漏洞并没有为黑客提供对系统的初始访问权限，但是一旦他们通过其他方法获得了最初的立足点，这些漏洞可以用来升级他们的特权。正如Carbanak，FIN7和其他网络犯罪集团反复证明的那样，获得访问网络和系统的权限不一定很难，而且可以通过多种方式实现。

Eclypsium的首席研究员Jesse Michael告诉CSO：“一旦你发现了进入ATM计算机的漏洞，你就可以利用它获得额外的特权和访问一些子接口，这样你就可以做更有趣的事情。” “这给了你一些能力去与其他设备，比如你想要访问的外设进行一些操作，作为攻击过程的一部分，所以这基本上是这些防护层的失效。”

对于某些高级网络犯罪集团而言，将BIOS内的恶意软件隐藏起来以使其免受OS重新安装的影响可能非常有用，因为这意味着它们可以反复攻击目标。更具有破坏性的攻击也可能导致设备无法启动。Michael说:“这个驱动程序与芯片组的SPI控制器通信以安装BIOS更新，因此，如果您只想让系统停止引导，那么就可以向引导块写入垃圾。”

过去的勒索软件攻击会加密电脑的主引导记录，从而使计算机无法启动，直到受害者支付赎金为止。要从这种攻击中恢复过来，需要人工干预，并且对于可以在地理位置上分散的ATM而言，这意味着大量的停机时间。在POS系统的情况下，如果一个商店或多个商店中的所有终端突然停止工作，也可能意味着财务损失。

还有2012年袭击Saudi Aramco的Shamoon攻击，以及2014年针对Sony Pictures的攻击，都被认为是朝鲜所为，其目的是扰乱正常的商业运营。这种破坏性攻击可以被用来操纵公司的股价并从中获利。

Eclypsium的研究突出表明，设备驱动程序在设计上缺乏安全性，因为发现的大多数问题是体系结构缺陷而不是代码漏洞。Michael认为，这些问题通常是开发人员满足业务需求的结果，例如应用程序与硬件组件进行通讯的能力，而没有适当的控制。

Michael说:“这些案例中的大多数都是一些人没有真正考虑过一个功能被滥用的后果。”“这个功能对他们的特定任务很有用，但他们没想过其他人是否会把它用于不良目的或做其他事情。”