1. 我是CIO首页
  2. 资讯
  3. 安全

易受攻击的驱动程序可以对ATM和POS系统进行致命攻击

在过去的几年中,ATM和销售点(POS)系统已成为许多网络犯罪组织的目标,这导致了一些历史上规模最大的信用卡盗用和盗窃案。

尽管攻击者可以通过多种方式闯入这些计算机,但研究人员现在警告说,它们所包含的驱动程序中的漏洞可能导致更持久的破坏性攻击。

专注于设备安全性的Eclypsium公司的研究人员评估了设备驱动程序的安全性,设备驱动程序是允许应用程序与系统的硬件组件进行通讯并利用其功能的程序。

在过去的一年中,他们的名为“螺丝驱动程序”的研究项目已经发现了来自至少20个不同硬件供应商的40个Windows驱动程序中的漏洞和设计缺陷,突出了这种攻击面的广泛问题。

大多数人认为Windows是在服务器,工作站和便携式计算机的上下文中使用的,但是这些并不是运行Microsoft操作系统的唯一设备类型。

Windows在ATM,POS终端,自助服务亭,医疗系统和其他类型的专用设备的世界中也很普遍。这些设备通常在受监管的行业和环境中使用,因此通常更难更新,因此更新需要通过严格的测试和认证。

使它们长时间脱机可能导致业务中断和财务损失。

研究人员在一份新报告中说,针对ATM的攻击可以采取多种形式:“攻击者可以通过破坏连接到该设备的银行网络,破坏该设备与卡处理器的连接,或者通过访问ATM的内部计算机来传播恶意软件。与传统攻击一样,攻击者或恶意软件通常需要提升攻击者的特权。受害设备可以更深入地访问系统。这是使用恶意或易受攻击的驱动程序的地方。利用不安全的驱动程序中的功能,攻击或其恶意软件可以获取新特权,访问信息并最终窃取金钱或客户数据。”

Diebold Nixdorf ATM驱动程序中的漏洞

作为他们研究项目的一部分,Eclypsium研究人员发现了Diebold Nixdorf(用于银行和零售业的最大设备制造商之一)的ATM模型中使用的驱动程序中的漏洞。该驱动程序使应用程序可以访问该系统的各种x86 I / O端口。

ATM本质上是具有专用外围设备的计算机,例如读卡器,密码键盘,网络接口或通过各种通信端口连接的现金匣。通过通过易受攻击的驱动程序访问I / O端口,攻击者可以潜在地读取ATM中央计算机与PCI连接的设备之间交换的数据。

而且,该驱动程序可用于更新BIOS,这是计算机的低级固件,它在操作系统之前启动并初始化硬件组件。通过利用此功能,攻击者可以部署BIOS rootkit,该rootkit将在重新安装OS后幸免,从而导致高度持久的攻击。

据研究人员所知,尚未在任何实际攻击中利用此漏洞,但基于与Diebold的讨论,他们认为在其他ATM模型以及POS系统中使用了相同的驱动程序。Diebold与研究人员合作,并于今年早些时候发布了补丁。

研究人员说:“就恶意驱动程序的功能而言,这只是冰山一角。” “我们先前的研究已经确定了驱动程序,这些驱动程序除了可以进行任意I / O访问之外,还具有对内存,特定于模型的调试和控制寄存器的读写能力,以及对任意PCI访问的能力。

易受攻击的驱动程序中的这些功能可能会对ATM或POS设备产生毁灭性影响。鉴于这些设备中的许多驱动程序尚未得到仔细分析,它们很可能包含未发现的漏洞。”

潜在的滥用

ATM和POS系统都已成为黑客的目标。有一些像Carbanak这样的网络犯罪组织,专门攻入银行等金融机构,并逐渐进入其ATM网络。

这些小组有条不紊且耐心,可以在网络中度过数月,直到他们了解受害者的工作流程及其系统如何工作。当他们决定最终停止抢劫时,他们通常在晚上发送钱money从被黑的ATM机中收取现金。

与Carbanak有关的另一组名为FIN7的组织专门从事入侵POS系统的攻击,并以酒店和零售领域的公司为目标,以窃取支付卡数据。最近,有人观察到该组织以百思买礼品卡的名义通过常规邮件向目标发送恶意USB加密狗。

甚至勒索软件团伙也对这种系统产生了兴趣,因为将其锁定可以为受影响的组织提供更大的诱因,使其支付赎金。赛门铁克上周报道说,Sodinokibi是目前运行的最复杂的勒索软件组织之一,已开始在他们可以访问的环境中扫描POS软件和系统。

像Eclypsium发现的那样,驱动程序中的漏洞不会为黑客提供对系统的初始访问权限,但一旦他们通过其他方法获得了最初的立足点,便可以用来提升其特权。

正如Carbanak,FIN7和其他网络犯罪组织反复证明的那样,获得网络和系统的访问权限并不一定很困难,并且可以通过多种方式来完成。

Eclypsium首席研究员Jesse Michael说: “一旦发现进入ATM计算机的漏洞,您就可以使用它来获得更多特权和访问一些子接口,从而使您可以做更多有趣的事情。”

“这为您提供了与其他设备(例如外围设备)进行通信的功能,您可以访问这些外围设备以在攻击过程中进行某些操作,因此,基本上,这是这些保护层的细分。”

对于某些高级网络犯罪集团而言,将BIOS内的恶意软件隐藏起来以使其免受OS重新安装的影响可能非常有用,因为这意味着它们可以反复命中目标。使设备无法启动的更具破坏性的攻击也是可能的。

迈克尔说:“该驱动程序与芯片组的SPI控制器进行对话,以安装BIOS更新,因此,如果您只想对系统进行扩展以使其根本无法启动,则可以在启动块中写入垃圾内容。”

过去,勒索软件攻击已经加密了计算机的主启动记录,从而使计算机无法启动,直到受害者支付赎金为止。要从这种攻击中恢复过来,需要人工干预,对于可在地理位置上分散的ATM,这意味着将需要大量停机。

在POS系统中,如果一个商店或多个商店中的所有终端突然停止工作,也可能意味着财务损失。

然后发生了像Shamoon这样的攻击,2012年袭击了沙特阿美公司,或者是2014年针对Sony Pictures的攻击,这归因于朝鲜,其目标是破坏正常的商业运营。这种破坏性攻击可用于操纵公司的股价并从中获利。

Eclypsium的研究突出显示了设备驱动程序设计中缺乏安全性,因为发现的大多数问题是体系结构缺陷而不是代码漏洞。Michael认为,这些问题通常是开发人员满足业务需求的结果,例如应用程序与硬件组件进行通讯的能力,而没有适当的控件。

Michael说:“大多数情况下,都是某些人没有真正思考过滥用功能所带来的后果。” “这项功能对他们的特定任务很有用,但是他们不认为这是别人可以用于不良目的还是做其他事情的东西。”

本文为作者 何斌 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论