許多政府機關或是企業,對於極為機密的應用環境,可能認為採用實體隔離(Air-Gapped)的網絡環境,與網際網路隔絕,就能防範黑客入侵,但其實不然,因為,信息人員留下的資料發送渠道,攻擊者也可能利用相同的渠道竊取。在HITCON 2020上,趨勢科技網絡威脅研究員Joey Chen,就對於鎖定菲律賓軍方發動的USB設備竊密攻擊,披露黑客組織使用的工具USBferry,來呼籲構建這種網絡隔離環境的單位。因此不能只是完全依賴現有的防護機制,來確保進入隔離網絡環境的資料無害。
另外,早在2018年,以色列研究人員就發表了一篇名為 BeatCoin 的文章,證明了如何從air-gapped 計算機的加密貨幣錢包中竊取私鑰。
近日一位安全研究人員證明,可以通過一種利用Wi-Fi作為隱蔽通道的新技術從Air-Gapped的計算機中竊取敏感數據,而且令人驚訝地是,還不需要在目標系統上使用Wi-Fi硬體。
目前該攻擊被研究者稱為「AIR-FI 」,其攻擊在於在受感染的系統中部署經過特殊設計的惡意軟體,該系統利用「DDR SDRAM總線在2.4 GHz Wi-Fi頻帶中產生電磁輻射」,並在這些頻率之上傳輸信息,然後可以將其攔截並由附近具有Wi-Fi功能的設備(例如智慧型手機,筆記本電腦和IoT設備)進行解碼,然後再將數據發送到攻擊者控制的遠程伺服器上。評估表明,攻擊距離可發生在幾米之內。
另外,以色列內蓋夫網絡安全研究中心本-古裡安大學的研發主管Mordechai Guri博士也在近日發表了一篇名為《AIR-FI:從封閉的電腦產生隱蔽的Wi-Fi》的論文。
Mordechai Guri表示:
AIR-FI攻擊不需要與Wi-Fi相關的硬體,相反,攻擊者可以利用DDR SDRAM總線在2.4 GHz Wi-Fi頻帶中產生電磁輻射,並在其上對二進位數據進行編碼。今年5月初,Mordechai Guri還展示了POWER-SUPPLaY的攻擊技術,這是一種獨立的機制,使惡意軟體可以利用計算機的電源單元(PSU)播放聲音並將其用作帶外輔助揚聲器洩漏數據。測試表明,被他稱為POWER-SUPPLaY的攻擊方法可用於在長達5米(16英尺)的距離內竊取數據。研究人員還提到,POWER-SUPPLaY代碼可以在普通的用戶模式過程中運行,不需要硬體訪問或root特權,不需要調用特殊的系統權限或訪問硬體資源,因此具有很高的隱蔽性。
有Air-gapped的計算機,即沒有網絡接口的計算機在涉及敏感數據以減少數據洩漏的風險的環境中被認為是必要的。
因此,為了對此類系統進行攻擊,通常必須將發送和接收設備設置在物理上接近彼此的位置,並且它們被適當的惡意軟體感染,以建立通信連接。
AIR-FI的獨特之處在於,該方法既不依賴Wi-Fi發射器來產生,也不需要內核驅動程序、root之類的特權或訪問硬體資源來傳輸數據。更重要的是,隱蔽通道甚至可以在一個隔離的虛擬機內工作,並且有無數的Wi-Fi啟用設備,攻擊者可以攻擊這些設備,使其成為潛在的接收者。
攻擊鏈本身是由一臺Air-gapped計算機組成,通過社會工程,攻擊者可以部署一些蠕蟲,如Agent.BTZ,被篡改的USB快閃記憶體驅動器甚至在惡意內部人員的幫助下,將惡意軟體部署到該計算機上。Agent.BTZ曾造成「史上最嚴重美國軍用計算機洩密事件」。早在2008年,Agent.BTZ入侵了美國中央司令部位於中東地區的網絡系統。能夠掃描出計算機上的敏感信息,向遠程命令控制伺服器發送數據。據了解,Agent.btz蠕蟲有大量變種,由於Agent.btz蠕蟲通過U盤進行傳播,這使得它在全球範圍內造成了大面積感染。
不過要想成功發起攻擊攻擊者還需要通過攻擊Wi-Fi晶片的固件來感染位於同一Air-gapped網絡中的Wi-Fi設備,以安裝能夠檢測和解碼AIR-FI傳輸並通過網際網路洩露數據的惡意軟體。
使用此設置後,目標系統上的惡意軟體將收集相關數據,例如機密文檔、憑據、加密密鑰,然後使用從計算機生成的電磁輻射在Wi-Fi頻段以2.4 GHz頻率對其進行編碼和傳輸。 DDR SDRAM總線用於在CPU和內存之間交換數據,從而破壞Air-Gapped產生的防護機制。
為了生成Wi-Fi,攻擊會利用數據總線或內存總線以與DDR內存模塊相關的頻率以及由系統當前運行的進程執行的內存讀/寫操作發射電磁輻射。
攻擊者使用具有不同RAM和硬體配置的四種類型的工作站,以及使用軟體定義的無線電(SDR)和USB Wi-Fi網絡適配器作為接收器,對AIR-FI進行了評估,發現隱蔽通道可以在幾米的距離內有效地保持1到100比特/秒的傳輸速率,這取決於使用的接收機類型和模式。
這項新的研究再次提醒人們,電磁、聲學、熱學和光學組件仍然是一種攻擊媒介,Air-Gapped防護並不是無懈可擊的。
作為對策,Guri博士提出了區域保護概念,以防止電磁攻擊,從而使入侵檢測系統可以監控和檢查執行密集的內存傳輸操作,幹擾並使用法拉第屏蔽來阻止隱蔽通道。
AIR-FI惡意軟體表明攻擊者已經存在理論上的可能性,即通過Wi-Fi將數據從Air-Gapped的計算機中竊取到附近的Wi-Fi接收器。
現代IT環境配備了許多類型的具有Wi-Fi功能的設備:智慧型手機、筆記本電腦、IoT設備、傳感器、嵌入式系統、智能手錶以及其他可穿戴設備。攻擊者可能會入侵此類設備來接收AIR-FI Air-Gapped計算機的傳輸。
本文翻譯自:https://thehackernews.com/2020/12/exfiltrating-data-from-air-gapped.html如若轉載,請註明原文地址。
【編輯推薦】
【責任編輯:
姜華TEL:(010)68476606】