Air-gap 系统下的隐蔽信道攻击

admin
admin
admin
138880
文章
114
评论
2024年2月15日15:40:35评论213 views字数 5764阅读19分12秒阅读模式

一、引言

“Air-gap”是一种保障网络安全的重要措施,指的是将网络或设备与外部网络(例如互联网)进行物理隔离,在某些情况下,该术语也被扩展到描述与任何安全性较低的网络的隔离。这种措施旨在最大限度地降低高度机密或敏感信息相关的数据泄露风险,军事组织通常采用 air-gapped 网络来保护其机密信息。air-gapped计算机通常会禁用或移除其无线接口控制器,或者通过严格的访问控制、生物认证和个人身份系统来管理air-gapped 环境下的物理访问,以此来加强隔离。
尽管 air-gapped 网络是高度隔离的,但它们同样受网络攻击的影响,有动机的对手甚至可以攻击高度安全的无线网络。由于缺乏与互联网的连接,攻击者必须采用特殊的通信方法,例如隐蔽信道,将信息泄漏到隔离环境之外,这种创新技术使得恶意行为者能够从断开的、有 air-gap 的系统中获取敏感信息。

二、Air-gapped 网络相关知识

目前,基于电磁信号的触摸屏攻击主要集中于主动攻击方面的研究,本文对触摸屏的相关知识进行梳理,并分别对命令注入和命令取消两类攻击的相关研究进行分析。
高级持续威胁(APT)杀伤链的初始阶段之一是攻击者使用攻击媒介渗透目标组织的网络,后续进入渗透阶段,收集和悄悄向外泄露敏感信息[1]。当涉及敏感信息及机密数据时,往往会采用 air-gapped 网络来进行物理隔离。
1. Air-gapped 网络
Air-gapped 网络是一种在逻辑和物理层面都与互联网完全隔离的网络,其安全性得到了极大的提升,杜绝了任何有线和无线的互联网连接风险。这种网络实现了高度的隔离,是一种广泛使用的安全措施。然而,尽管如此,air-gapped 网络仍然不能完全免于网络攻击的威胁,攻击者可能会采取各种手段,如破坏供应链、损害第三方软件,甚至利用恶意或受骗的内部人员等,来发起针对这种网络的攻击。
超级工厂病毒是首次针对 air-gapped 网络系统的攻击行动,它是一种专门针对微软系统和西门子工业系统的病毒,这种病毒曾经导致伊朗核电站推迟发电,造成不小的损失[2]。此后,类似的针对 air-gapped 网络的攻击手段相继产生。
2. Air-gap 隐蔽信道
在 air-gapped 网络中进行攻击是一项具有挑战性的任务,攻击者需要通过非常规的方式泄露信息,这种能够帮助数据从 air-gapped 系统中泄漏的通信信道被称为 air-gap 隐蔽信道。
目前,已经出现了以电磁、磁、光、声和热为主的不同类型的隐蔽信道,允许攻击者跨越 air-gap 隔离。
3. 攻击模型
该类隐蔽信道的攻击模型一般由发送器和接收器模块组成,发射器指处于 air-gapped 网络中的计算机设备,接收器指发射器附近的移动设备(智能手机等),接收并处理信息后转发给攻击者。
攻击链一般分为入侵 air-gap 系统、入侵接收器和泄露数据三个阶段。

三、技术背景

目前,针对 air-gap 系统的隐蔽信道攻击一般依赖于目标计算机组件的相关特性,下面对相关知识进行介绍。
1. DDR SDRAM
DDR SDRAM 是存储器模块的类型,DDR 技术通过在内存总线时钟的上升沿和下降沿传输数据,使总线带宽加倍。数据通过专用总线在 CPU 和内存之间交换,存储器总线保持两种类型的信号,并以与其时钟频率和谐波相关的频率产生电磁辐射。
内存模块为 BIOS/UEFI(统一可扩展固件接口) 提供一组工作的频率,借助极限内存配置文件 (XMP),用户可以修改存储器参数,改变内存模块的工作频率被称为超频和欠频/降频。
2. Wi-Fi 技术
IEEE 802.11 标准定义了 Wi-Fi 通信所允许的电磁频谱中的频率范围。如今,大多数 Wi-Fi 芯片都支持 802.11b/g/n 标准,802.11b/g/n 标准通常被称为 2.4GHz 频段。这些标准定义了 2.4 GHz 频带中的 14 个信道,但是在所有国家中只允许使用其中的 11 个信道,前 11 个通道之间的间隔为 5 MHz,通道 13 和 14 之间的间隔为 12 MHz,如图 1所示。Wi-Fi 信道的常见带宽是 20 MHz,这意味着相邻信道的信号可能会相互干扰。
Air-gap 系统下的隐蔽信道攻击

图1 2.4GHz信道

3. 开关模式电源(SMPS)
开关模式电源(SMPS)是将电能从一种类型转换成另一种类型的部件,使用开关器件来调节电压和电流,根据所供电的器件,它们可以有不同的输出电压和电流,与老式线性电源相比有效率高、尺寸小、以及输出电压调节能力强等优点,应用广泛。
(1) SMPS 的辐射产生以及频率缩放机制: SMPS的电磁辐射主要有传导和辐射两种类型,传导辐射由电线传输,辐射发射以电磁场的形式传播,部分辐射发射产生的波形与瞬时开关频率相关。由于动态电压和频率缩放机制,现代系统中的开关频率在执行过程中会发生变化,为计算机中的特定负载提供电压。频率调节是英特尔处理器当超过特定的功率、温度或电流限制时,用来降低时钟速度的一种机制,负责频率调节的硬件机制是处理器的电源管理单元 (PMU),它监控处理器的运行条件并相应地调整性能。
(2) SMPS 的声信号产生机制: 开关频率还会影响变压器和电容器,这是 SMPS 产生噪声的主要来源。变压器因为包含许多物理上可移动的元件,所以能产生可听噪声,以开关频率出现的线圈中的电流产生电磁场,该电磁场在线圈之间产生排斥力和/或吸引力,产生机械振动。陶瓷电容因为具有压电特性,同样能产生可听噪声,这种噪声实际上是正常工作条件下印刷电路板(PCB) 上电容振动的结果。SMPS 产生的声信号主要在 20 kHz 和更高的频率范围内,这个范围是人类听觉的上限,无法被大多数人听见。

四、电磁 Air-gap 隐蔽信道

通过电磁隐蔽通道,系统中的恶意代码利用来自组件的电磁辐射来调制和向外传输数据,该类研究已经进行了多年。下面,对电磁隐蔽信道的最新研究进展进行分析。
1. 利用 Wi-Fi 技术的电磁隐蔽信道攻击
Mordechai Guri 团队最近提出 AIR-FI[3],这种攻击能够将信息从 air-gapped 计算机渗透到附近的 Wi-Fi 接收器。攻击者利用 DDR SDRAM 总线在 2.4GHz的 Wi-Fi 频段上生成电磁信号,附近被入侵的 Wi-Fi设备可以拦截这些信号,对数据进行解码后发送给攻击者,实现信息的窃取。
攻击实现流程如图 2所示。攻击者获得了对 air-gapped 计算机的物理访问权,并安装了可以在 Wi-Fi频带中生成和调制信号的恶意软件,该恶意软件使用air-gapped 计算机上的 DDR SDRAM 来生成 2.4 GHz Wi-Fi 频段的信号,二进制信息被调制在信号之上。调制信号通过空气传输,并由附近的 Wi-Fi 接收器 (如笔记本电脑或智能手机) 接收,接收的信号被解调和解码以恢复二进制信息,后将恢复的信息渗透到攻击者的远程服务器。
Air-gap 系统下的隐蔽信道攻击

图2 攻击实现流程

2. 利用 SMPS 的电磁隐蔽信道攻击
除此之外,该团队还提出了另一种新的基于电磁的隐蔽信道攻击方式,允许敏感信息从 air-gapped 系统泄漏到附近的接收器,恶意软件可以通过在目标系统上执行编制的恶意代码,利用现代系统的动态电压和频率调节机制,精确操控 CPU 内核的负载,从而调整瞬时开关频率,生成极低频(VLF)电磁辐射,敏感信息可以被编码在生成的电磁辐射中,并被简单的接收器截获[4]。该攻击技术可以在具有标准权限级别的应用程序中正常运行,甚至在完全断开的虚拟机 (VM) 中也能运行。

五、声学 Air-gap 隐蔽信道

在声学 air-gap 隐蔽信道中,数据通过各种频率的声波进行传输。音频间隙(Audio-Gap)是一种为了应对声学隐蔽信道而产生的安全措施,这一措施严格禁止在敏感计算机上使用扬声器,以确保无音频环境。保持扬声器断开和禁用音频硬件可以有效地消除到目前为止出现的大部分声学隐蔽通道。
POWER-SUPPLaY 是一种克服 Audio-Gap 的声学隐蔽信道 [5],该信道不需要扬声器或其他音频相关硬件,攻击场景如图 3所示。
Air-gap 系统下的隐蔽信道攻击

图3 攻击场景

为了避开音频间隙,在计算机上运行的恶意软件可以利用电源单元 (PSU) 并将其用作带外扬声器,系统中执行的代码可以有意调节 SMPS 的内部开关频率,从而控制 PSU 电容器和变压器产生的波形。这项技术能够从各种类型的计算机和设备生成声波和超声波波段的音频流,即使音频硬件被阻止、禁用或不存在。二进制数据通过声音信号进行调制和传输后,可以被附近的接收器 (如智能手机) 截获,接收器对数据进行解调和解码,并通过互联网将其发送给攻击者。实验证明,该隐蔽信道使用的恶意代码可以从普通用户模式进程运行,并且不需要硬件访问或 root 权限。

六、性能分析

1. 电磁 Air-gap 隐蔽信道攻击的性能分析
AIR-FI 首次在 air-gapped 计算机上的攻击模型中使用 Wi-Fi 技术,使用 DDR SDRAM 来产生信号,不需要任何 Wi-Fi 硬件,但该攻击基于现代计算机中内部组件的时钟频率,依赖硬件时钟速度。Air-Gap Electromagnetic在此基础上进行改进,利用开关频率产生的极低频电磁波进行隐蔽信道攻击,具有硬件无关特性,但依赖 CPU 动态调整频率的能力。除此之外,两种技术共有的优点有:

  • 使用权限:不需要特殊权限;

  • 工作范围:在独立的虚拟机中也可以工作;

  • 传输速率:具有高比特率。

结合两种攻击手段,可以看出基于电磁信号的隐蔽通道攻击一般具有以下限制:

  • 频道质量:大多数电磁隐蔽信道信号质量不稳定或很低,且易被干扰,这一特性直接影响带宽和范围,恶劣的环境设置会加剧这种现象;

  • 物理绝缘:将计算机放在法拉第屏蔽室内等物理对策,会限制电磁辐射泄漏,尽管这种方法的实施成本可能很高,但会显著降低基于电磁的攻击的有效性。

2. 电磁 Air-gap 隐蔽信道攻击的性能分析
对现存的声学隐蔽信道的性能进行总结归纳,如表1所示。

表1 现存声学隐蔽信道的性能总结

Air-gap 系统下的隐蔽信道攻击
根据对比可知,POWER-SUPPLAY 克服了声学隐蔽信道研究的很多限制,具有如下优点:

  • 硬件要求:不需要扬声器和音频硬件,适用于完全音频隔离的系统;

  • 隐蔽性:以在整个 0-24 kHz 频段内灵活地产生可听或者不可听的声音;

  • 使用权限:不需要特殊权限、内核驱动程序或对硬件资源的访问,可以从普通的用户空间进程启动;

  • 传输速度:传输速度快,比特率可达到 60bps。

  • 除此之外,目前的技术仍存在较多的限制与不足之处:

  • 接收机权限:Android 和 iOS等移动操作系统通过 一系列架构特性和安全机制来保护麦克风等敏感传感器免受未经授权的访问,应用程序必须要求用户同意使用设备的麦克风,允许访问音频输入;

  • 声音信号的质量受限:由 PSU 变压器和电容器产生的高质量信号只能在频谱的某些分段频带内获得,声音信号的质量在不同类型的计算机之间可能 有所不同,且信号在整个频谱上的强度不均匀;

  • 发射机类型受限:小型计算机 (NUK) 和低功耗嵌入式设备 (IoT) 作为发射机时,性能与标准桌面工 作站(PC)相比较差。

七、总结与展望

当前,针对 air-gap 系统的攻击主要依赖于目标计算机组件与中继设备形成的隐蔽信道。其中,电磁隐蔽信道以其出色的传输速度和远程能力而备受关注,然而,它也容易受到干扰的影响。相比之下,声学隐蔽信道具有极佳的隐蔽性,并且最新的研究 POWER-SUPPLAY已经解决了以往研究中存在的速度较慢和传输距离较近的问题,但在接收权限、声音质量等方面仍存在一定的局限性。
尽管不同类型的隐蔽信道技术不断被提出,但它们或多或少都存在一些缺陷,如隐蔽性能不足、性能较弱或使用条件过于复杂等,这些问题都严重阻碍了它们在实际应用中的发展。因此,未来的研究可以基于当前的技术进行优化,重点探索提高隐蔽信道性能的方法。
参考文献

[1] M. Guri, B. Zadov and Y. Elovici, ”ODINI: Escaping Sensitive Data From Faraday-Caged, Air-Gapped Computers via Magnetic Fields,” in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 1190-1203, 2020, doi:10.1109/TIFS.2019.2938404.

[2] M. Guri, ”GAIROSCOPE: Leaking Data from Air-Gapped Computers to Nearby Smartphones using Speakers-to-Gyro Communication,” 2021 18th International Conference on Privacy, Security and Trust (PST), Auckland, New Zealand, 2021, pp. 1-10, doi:10.1109/PST52912.2021.9647842.

[3] M. Guri, ”AIR-FI: Leaking Data From Air-Gapped Computers Using Wi-Fi Frequencies,” in IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 3, pp. 2547-2564, 1 May-June 2023, doi:10.1109/TDSC.2022.3186627.

[4] M. Guri, ”Air-Gap Electromagnetic Covert Channel,” in IEEE Transactions on Dependable and Secure Computing, doi:10.1109/TDSC.2023.3300035.

[5] M. Guri, ”POWER-SUPPLaY: Leaking Sensitive Data From Air-Gapped, Audio-Gapped Systems by Turning the Power Supplies into Speakers,” in IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 1, pp. 313-330, 1 Jan.-Feb. 2023, doi:10.1109/TDSC.2021.3133406.

中国保密协会

科学技术分会

原文始发于微信公众号(中国保密协会科学技术分会):Air-gap 系统下的隐蔽信道攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日15:40:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Air-gap 系统下的隐蔽信道攻击https://cn-sec.com/archives/2495582.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息