您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
Air-gap 系統(tǒng)下的隱蔽信道攻擊
一、引言
“Air-gap”是一種保障網(wǎng)絡(luò)安全的重要措施,指的是將網(wǎng)絡(luò)或設(shè)備與外部網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))進(jìn)行物理隔離,在某些情況下,該術(shù)語(yǔ)也被擴(kuò)展到描述與任何安全性較低的網(wǎng)絡(luò)的隔離。這種措施旨在最大限度地降低高度機(jī)密或敏感信息相關(guān)的數(shù)據(jù)泄露風(fēng)險(xiǎn),軍事組織通常采用 air-gapped 網(wǎng)絡(luò)來(lái)保護(hù)其機(jī)密信息。air-gapped計(jì)算機(jī)通常會(huì)禁用或移除其無(wú)線接口控制器,或者通過(guò)嚴(yán)格的訪問(wèn)控制、生物認(rèn)證和個(gè)人身份系統(tǒng)來(lái)管理air-gapped 環(huán)境下的物理訪問(wèn),以此來(lái)加強(qiáng)隔離。
盡管 air-gapped 網(wǎng)絡(luò)是高度隔離的,但它們同樣受網(wǎng)絡(luò)攻擊的影響,有動(dòng)機(jī)的對(duì)手甚至可以攻擊高度安全的無(wú)線網(wǎng)絡(luò)。由于缺乏與互聯(lián)網(wǎng)的連接,攻擊者必須采用特殊的通信方法,例如隱蔽信道,將信息泄漏到隔離環(huán)境之外,這種創(chuàng)新技術(shù)使得惡意行為者能夠從斷開(kāi)的、有 air-gap 的系統(tǒng)中獲取敏感信息。
二、Air-gapped 網(wǎng)絡(luò)相關(guān)知識(shí)
目前,基于電磁信號(hào)的觸摸屏攻擊主要集中于主動(dòng)攻擊方面的研究,本文對(duì)觸摸屏的相關(guān)知識(shí)進(jìn)行梳理,并分別對(duì)命令注入和命令取消兩類攻擊的相關(guān)研究進(jìn)行分析。高級(jí)持續(xù)威脅(APT)殺傷鏈的初始階段之一是攻擊者使用攻擊媒介滲透目標(biāo)組織的網(wǎng)絡(luò),后續(xù)進(jìn)入滲透階段,收集和悄悄向外泄露敏感信息[1]。當(dāng)涉及敏感信息及機(jī)密數(shù)據(jù)時(shí),往往會(huì)采用 air-gapped 網(wǎng)絡(luò)來(lái)進(jìn)行物理隔離。
1. Air-gapped 網(wǎng)絡(luò)
Air-gapped 網(wǎng)絡(luò)是一種在邏輯和物理層面都與互聯(lián)網(wǎng)完全隔離的網(wǎng)絡(luò),其安全性得到了極大的提升,杜絕了任何有線和無(wú)線的互聯(lián)網(wǎng)連接風(fēng)險(xiǎn)。這種網(wǎng)絡(luò)實(shí)現(xiàn)了高度的隔離,是一種廣泛使用的安全措施。然而,盡管如此,air-gapped 網(wǎng)絡(luò)仍然不能完全免于網(wǎng)絡(luò)攻擊的威脅,攻擊者可能會(huì)采取各種手段,如破壞供應(yīng)鏈、損害第三方軟件,甚至利用惡意或受騙的內(nèi)部人員等,來(lái)發(fā)起針對(duì)這種網(wǎng)絡(luò)的攻擊。
超級(jí)工廠病毒是首次針對(duì) air-gapped 網(wǎng)絡(luò)系統(tǒng)的攻擊行動(dòng),它是一種專門針對(duì)微軟系統(tǒng)和西門子工業(yè)系統(tǒng)的病毒,這種病毒曾經(jīng)導(dǎo)致伊朗核電站推遲發(fā)電,造成不小的損失[2]。此后,類似的針對(duì) air-gapped 網(wǎng)絡(luò)的攻擊手段相繼產(chǎn)生。
2. Air-gap 隱蔽信道
在 air-gapped 網(wǎng)絡(luò)中進(jìn)行攻擊是一項(xiàng)具有挑戰(zhàn)性的任務(wù),攻擊者需要通過(guò)非常規(guī)的方式泄露信息,這種能夠幫助數(shù)據(jù)從 air-gapped 系統(tǒng)中泄漏的通信信道被稱為 air-gap 隱蔽信道。
目前,已經(jīng)出現(xiàn)了以電磁、磁、光、聲和熱為主的不同類型的隱蔽信道,允許攻擊者跨越 air-gap 隔離。
3. 攻擊模型
該類隱蔽信道的攻擊模型一般由發(fā)送器和接收器模塊組成,發(fā)射器指處于 air-gapped 網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)備,接收器指發(fā)射器附近的移動(dòng)設(shè)備(智能手機(jī)等),接收并處理信息后轉(zhuǎn)發(fā)給攻擊者。
攻擊鏈一般分為入侵 air-gap 系統(tǒng)、入侵接收器和泄露數(shù)據(jù)三個(gè)階段。
三、技術(shù)背景
目前,針對(duì) air-gap 系統(tǒng)的隱蔽信道攻擊一般依賴于目標(biāo)計(jì)算機(jī)組件的相關(guān)特性,下面對(duì)相關(guān)知識(shí)進(jìn)行介紹。
1. DDR SDRAM
DDR SDRAM 是存儲(chǔ)器模塊的類型,DDR 技術(shù)通過(guò)在內(nèi)存總線時(shí)鐘的上升沿和下降沿傳輸數(shù)據(jù),使總線帶寬加倍。數(shù)據(jù)通過(guò)專用總線在 CPU 和內(nèi)存之間交換,存儲(chǔ)器總線保持兩種類型的信號(hào),并以與其時(shí)鐘頻率和諧波相關(guān)的頻率產(chǎn)生電磁輻射。
內(nèi)存模塊為 BIOS/UEFI(統(tǒng)一可擴(kuò)展固件接口) 提供一組工作的頻率,借助極限內(nèi)存配置文件 (XMP),用戶可以修改存儲(chǔ)器參數(shù),改變內(nèi)存模塊的工作頻率被稱為超頻和欠頻/降頻。
2. Wi-Fi 技術(shù)
IEEE 802.11 標(biāo)準(zhǔn)定義了 Wi-Fi 通信所允許的電磁頻譜中的頻率范圍。如今,大多數(shù) Wi-Fi 芯片都支持 802.11b/g/n 標(biāo)準(zhǔn),802.11b/g/n 標(biāo)準(zhǔn)通常被稱為 2.4GHz 頻段。這些標(biāo)準(zhǔn)定義了 2.4 GHz 頻帶中的 14 個(gè)信道,但是在所有國(guó)家中只允許使用其中的 11 個(gè)信道,前 11 個(gè)通道之間的間隔為 5 MHz,通道 13 和 14 之間的間隔為 12 MHz,如圖 1所示。Wi-Fi 信道的常見(jiàn)帶寬是 20 MHz,這意味著相鄰信道的信號(hào)可能會(huì)相互干擾。
圖1 2.4GHz信道
3. 開(kāi)關(guān)模式電源(SMPS)開(kāi)關(guān)模式電源(SMPS)是將電能從一種類型轉(zhuǎn)換成另一種類型的部件,使用開(kāi)關(guān)器件來(lái)調(diào)節(jié)電壓和電流,根據(jù)所供電的器件,它們可以有不同的輸出電壓和電流,與老式線性電源相比有效率高、尺寸小、以及輸出電壓調(diào)節(jié)能力強(qiáng)等優(yōu)點(diǎn),應(yīng)用廣泛。
(1) SMPS 的輻射產(chǎn)生以及頻率縮放機(jī)制: SMPS的電磁輻射主要有傳導(dǎo)和輻射兩種類型,傳導(dǎo)輻射由電線傳輸,輻射發(fā)射以電磁場(chǎng)的形式傳播,部分輻射發(fā)射產(chǎn)生的波形與瞬時(shí)開(kāi)關(guān)頻率相關(guān)。由于動(dòng)態(tài)電壓和頻率縮放機(jī)制,現(xiàn)代系統(tǒng)中的開(kāi)關(guān)頻率在執(zhí)行過(guò)程中會(huì)發(fā)生變化,為計(jì)算機(jī)中的特定負(fù)載提供電壓。頻率調(diào)節(jié)是英特爾處理器當(dāng)超過(guò)特定的功率、溫度或電流限制時(shí),用來(lái)降低時(shí)鐘速度的一種機(jī)制,負(fù)責(zé)頻率調(diào)節(jié)的硬件機(jī)制是處理器的電源管理單元 (PMU),它監(jiān)控處理器的運(yùn)行條件并相應(yīng)地調(diào)整性能。
(2) SMPS 的聲信號(hào)產(chǎn)生機(jī)制: 開(kāi)關(guān)頻率還會(huì)影響變壓器和電容器,這是 SMPS 產(chǎn)生噪聲的主要來(lái)源。變壓器因?yàn)榘S多物理上可移動(dòng)的元件,所以能產(chǎn)生可聽(tīng)噪聲,以開(kāi)關(guān)頻率出現(xiàn)的線圈中的電流產(chǎn)生電磁場(chǎng),該電磁場(chǎng)在線圈之間產(chǎn)生排斥力和/或吸引力,產(chǎn)生機(jī)械振動(dòng)。陶瓷電容因?yàn)榫哂袎弘娞匦?,同樣能產(chǎn)生可聽(tīng)噪聲,這種噪聲實(shí)際上是正常工作條件下印刷電路板(PCB) 上電容振動(dòng)的結(jié)果。SMPS 產(chǎn)生的聲信號(hào)主要在 20 kHz 和更高的頻率范圍內(nèi),這個(gè)范圍是人類聽(tīng)覺(jué)的上限,無(wú)法被大多數(shù)人聽(tīng)見(jiàn)。
四、電磁 Air-gap 隱蔽信道
通過(guò)電磁隱蔽通道,系統(tǒng)中的惡意代碼利用來(lái)自組件的電磁輻射來(lái)調(diào)制和向外傳輸數(shù)據(jù),該類研究已經(jīng)進(jìn)行了多年。下面,對(duì)電磁隱蔽信道的最新研究進(jìn)展進(jìn)行分析。
1. 利用 Wi-Fi 技術(shù)的電磁隱蔽信道攻擊
Mordechai Guri 團(tuán)隊(duì)最近提出 AIR-FI[3],這種攻擊能夠?qū)⑿畔?air-gapped 計(jì)算機(jī)滲透到附近的 Wi-Fi 接收器。攻擊者利用 DDR SDRAM 總線在 2.4GHz的 Wi-Fi 頻段上生成電磁信號(hào),附近被入侵的 Wi-Fi設(shè)備可以攔截這些信號(hào),對(duì)數(shù)據(jù)進(jìn)行解碼后發(fā)送給攻擊者,實(shí)現(xiàn)信息的竊取。
攻擊實(shí)現(xiàn)流程如圖 2所示。攻擊者獲得了對(duì) air-gapped 計(jì)算機(jī)的物理訪問(wèn)權(quán),并安裝了可以在 Wi-Fi頻帶中生成和調(diào)制信號(hào)的惡意軟件,該惡意軟件使用air-gapped 計(jì)算機(jī)上的 DDR SDRAM 來(lái)生成 2.4 GHz Wi-Fi 頻段的信號(hào),二進(jìn)制信息被調(diào)制在信號(hào)之上。調(diào)制信號(hào)通過(guò)空氣傳輸,并由附近的 Wi-Fi 接收器 (如筆記本電腦或智能手機(jī)) 接收,接收的信號(hào)被解調(diào)和解碼以恢復(fù)二進(jìn)制信息,后將恢復(fù)的信息滲透到攻擊者的遠(yuǎn)程服務(wù)器。
圖2 攻擊實(shí)現(xiàn)流程
2. 利用 SMPS 的電磁隱蔽信道攻擊
除此之外,該團(tuán)隊(duì)還提出了另一種新的基于電磁的隱蔽信道攻擊方式,允許敏感信息從 air-gapped 系統(tǒng)泄漏到附近的接收器,惡意軟件可以通過(guò)在目標(biāo)系統(tǒng)上執(zhí)行編制的惡意代碼,利用現(xiàn)代系統(tǒng)的動(dòng)態(tài)電壓和頻率調(diào)節(jié)機(jī)制,精確操控 CPU 內(nèi)核的負(fù)載,從而調(diào)整瞬時(shí)開(kāi)關(guān)頻率,生成極低頻(VLF)電磁輻射,敏感信息可以被編碼在生成的電磁輻射中,并被簡(jiǎn)單的接收器截獲[4]。該攻擊技術(shù)可以在具有標(biāo)準(zhǔn)權(quán)限級(jí)別的應(yīng)用程序中正常運(yùn)行,甚至在完全斷開(kāi)的虛擬機(jī) (VM) 中也能運(yùn)行。
五、聲學(xué) Air-gap 隱蔽信道
在聲學(xué) air-gap 隱蔽信道中,數(shù)據(jù)通過(guò)各種頻率的聲波進(jìn)行傳輸。音頻間隙(Audio-Gap)是一種為了應(yīng)對(duì)聲學(xué)隱蔽信道而產(chǎn)生的安全措施,這一措施嚴(yán)格禁止在敏感計(jì)算機(jī)上使用揚(yáng)聲器,以確保無(wú)音頻環(huán)境。保持揚(yáng)聲器斷開(kāi)和禁用音頻硬件可以有效地消除到目前為止出現(xiàn)的大部分聲學(xué)隱蔽通道。
POWER-SUPPLaY 是一種克服 Audio-Gap 的聲學(xué)隱蔽信道 [5],該信道不需要揚(yáng)聲器或其他音頻相關(guān)硬件,攻擊場(chǎng)景如圖 3所示。
圖3 攻擊場(chǎng)景
為了避開(kāi)音頻間隙,在計(jì)算機(jī)上運(yùn)行的惡意軟件可以利用電源單元 (PSU) 并將其用作帶外揚(yáng)聲器,系統(tǒng)中執(zhí)行的代碼可以有意調(diào)節(jié) SMPS 的內(nèi)部開(kāi)關(guān)頻率,從而控制 PSU 電容器和變壓器產(chǎn)生的波形。這項(xiàng)技術(shù)能夠從各種類型的計(jì)算機(jī)和設(shè)備生成聲波和超聲波波段的音頻流,即使音頻硬件被阻止、禁用或不存在。二進(jìn)制數(shù)據(jù)通過(guò)聲音信號(hào)進(jìn)行調(diào)制和傳輸后,可以被附近的接收器 (如智能手機(jī)) 截獲,接收器對(duì)數(shù)據(jù)進(jìn)行解調(diào)和解碼,并通過(guò)互聯(lián)網(wǎng)將其發(fā)送給攻擊者。實(shí)驗(yàn)證明,該隱蔽信道使用的惡意代碼可以從普通用戶模式進(jìn)程運(yùn)行,并且不需要硬件訪問(wèn)或 root 權(quán)限。
六、性能分析
1. 電磁 Air-gap 隱蔽信道攻擊的性能分析
AIR-FI 首次在 air-gapped 計(jì)算機(jī)上的攻擊模型中使用 Wi-Fi 技術(shù),使用 DDR SDRAM 來(lái)產(chǎn)生信號(hào),不需要任何 Wi-Fi 硬件,但該攻擊基于現(xiàn)代計(jì)算機(jī)中內(nèi)部組件的時(shí)鐘頻率,依賴硬件時(shí)鐘速度。Air-Gap Electromagnetic在此基礎(chǔ)上進(jìn)行改進(jìn),利用開(kāi)關(guān)頻率產(chǎn)生的極低頻電磁波進(jìn)行隱蔽信道攻擊,具有硬件無(wú)關(guān)特性,但依賴 CPU 動(dòng)態(tài)調(diào)整頻率的能力。除此之外,兩種技術(shù)共有的優(yōu)點(diǎn)有:
使用權(quán)限:不需要特殊權(quán)限;
工作范圍:在獨(dú)立的虛擬機(jī)中也可以工作;
傳輸速率:具有高比特率。
結(jié)合兩種攻擊手段,可以看出基于電磁信號(hào)的隱蔽通道攻擊一般具有以下限制:
頻道質(zhì)量:大多數(shù)電磁隱蔽信道信號(hào)質(zhì)量不穩(wěn)定或很低,且易被干擾,這一特性直接影響帶寬和范圍,惡劣的環(huán)境設(shè)置會(huì)加劇這種現(xiàn)象;
物理絕緣:將計(jì)算機(jī)放在法拉第屏蔽室內(nèi)等物理對(duì)策,會(huì)限制電磁輻射泄漏,盡管這種方法的實(shí)施成本可能很高,但會(huì)顯著降低基于電磁的攻擊的有效性。
2. 電磁 Air-gap 隱蔽信道攻擊的性能分析
對(duì)現(xiàn)存的聲學(xué)隱蔽信道的性能進(jìn)行總結(jié)歸納,如表1所示。
表1 現(xiàn)存聲學(xué)隱蔽信道的性能總結(jié)
根據(jù)對(duì)比可知,POWER-SUPPLAY 克服了聲學(xué)隱蔽信道研究的很多限制,具有如下優(yōu)點(diǎn):
硬件要求:不需要揚(yáng)聲器和音頻硬件,適用于完全音頻隔離的系統(tǒng);
隱蔽性:以在整個(gè) 0-24 kHz 頻段內(nèi)靈活地產(chǎn)生可聽(tīng)或者不可聽(tīng)的聲音;
使用權(quán)限:不需要特殊權(quán)限、內(nèi)核驅(qū)動(dòng)程序或?qū)τ布Y源的訪問(wèn),可以從普通的用戶空間進(jìn)程啟動(dòng);
傳輸速度:傳輸速度快,比特率可達(dá)到 60bps。
除此之外,目前的技術(shù)仍存在較多的限制與不足之處:
接收機(jī)權(quán)限:Android 和 iOS等移動(dòng)操作系統(tǒng)通過(guò) 一系列架構(gòu)特性和安全機(jī)制來(lái)保護(hù)麥克風(fēng)等敏感傳感器免受未經(jīng)授權(quán)的訪問(wèn),應(yīng)用程序必須要求用戶同意使用設(shè)備的麥克風(fēng),允許訪問(wèn)音頻輸入;
聲音信號(hào)的質(zhì)量受限:由 PSU 變壓器和電容器產(chǎn)生的高質(zhì)量信號(hào)只能在頻譜的某些分段頻帶內(nèi)獲得,聲音信號(hào)的質(zhì)量在不同類型的計(jì)算機(jī)之間可能 有所不同,且信號(hào)在整個(gè)頻譜上的強(qiáng)度不均勻;
發(fā)射機(jī)類型受限:小型計(jì)算機(jī) (NUK) 和低功耗嵌入式設(shè)備 (IoT) 作為發(fā)射機(jī)時(shí),性能與標(biāo)準(zhǔn)桌面工 作站(PC)相比較差。
七、總結(jié)與展望
當(dāng)前,針對(duì) air-gap 系統(tǒng)的攻擊主要依賴于目標(biāo)計(jì)算機(jī)組件與中繼設(shè)備形成的隱蔽信道。其中,電磁隱蔽信道以其出色的傳輸速度和遠(yuǎn)程能力而備受關(guān)注,然而,它也容易受到干擾的影響。相比之下,聲學(xué)隱蔽信道具有極佳的隱蔽性,并且最新的研究 POWER-SUPPLAY已經(jīng)解決了以往研究中存在的速度較慢和傳輸距離較近的問(wèn)題,但在接收權(quán)限、聲音質(zhì)量等方面仍存在一定的局限性。
盡管不同類型的隱蔽信道技術(shù)不斷被提出,但它們或多或少都存在一些缺陷,如隱蔽性能不足、性能較弱或使用條件過(guò)于復(fù)雜等,這些問(wèn)題都嚴(yán)重阻礙了它們?cè)趯?shí)際應(yīng)用中的發(fā)展。因此,未來(lái)的研究可以基于當(dāng)前的技術(shù)進(jìn)行優(yōu)化,重點(diǎn)探索提高隱蔽信道性能的方法。
參考文獻(xiàn)
[1] M. Guri, B. Zadov and Y. Elovici, ”O(jiān)DINI: Escaping Sensitive Data From Faraday-Caged, Air-Gapped Computers via Magnetic Fields,” in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 1190-1203, 2020, doi:10.1109/TIFS.2019.2938404.
[2] M. Guri, ”GAIROSCOPE: Leaking Data from Air-Gapped Computers to Nearby Smartphones using Speakers-to-Gyro Communication,” 2021 18th International Conference on Privacy, Security and Trust (PST), Auckland, New Zealand, 2021, pp. 1-10, doi:10.1109/PST52912.2021.9647842.
[3] M. Guri, ”AIR-FI: Leaking Data From Air-Gapped Computers Using Wi-Fi Frequencies,” in IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 3, pp. 2547-2564, 1 May-June 2023, doi:10.1109/TDSC.2022.3186627.
[4] M. Guri, ”Air-Gap Electromagnetic Covert Channel,” in IEEE Transactions on Dependable and Secure Computing, doi:10.1109/TDSC.2023.3300035.
[5] M. Guri, ”POWER-SUPPLaY: Leaking Sensitive Data From Air-Gapped, Audio-Gapped Systems by Turning the Power Supplies into Speakers,” in IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 1, pp. 313-330, 1 Jan.-Feb. 2023, doi:10.1109/TDSC.2021.3133406.
來(lái)源:中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)