气隙对象-攻击者可以在不使用Wi-Fi硬件的情况下从Air-gapped计算机窃取数据

很多政府机构或企业可能会考虑物理隔离（Air-Gapped）网络环境，与互联网隔离，可以防止黑客入侵，但它事实并非如此，因为攻击者也可能使用相同的渠道窃取信息人员留下的信息。在HITCON2020上，趋势科技网络威胁研究员JoeyChen公开了黑客组织使用的工具USBferry，以针对菲律宾军方发起的USB设备窃取攻击，呼吁各单位建立这样的网络隔离环境。所以你不能仅仅依靠现有的保护机制来确保进入隔离网络环境的数据是无害的。此外，早在2018年，以色列研究人员就发表了一篇名为BeatCoin的文章，演示了如何从气隙计算机上的加密货币钱包中窃取私钥。一名安全研究人员已经证明，可以通过一种使用Wi-Fi作为隐蔽通道的新技术从气隙计算机中窃取敏感数据，而且令人惊讶的是，目标系统不需要Wi-Fi。网络硬件。该攻击目前被研究人员称为“AIR-FI”，包括在受感染系统中部署专门设计的恶意软件，该系统利用“DDRSDRAM总线在2.4GHzWi-Fi频段产生电磁辐射”，并在顶部传输信息这些频率的频率，然后可以被附近支持Wi-Fi的设备（例如智能手机、笔记本电脑和物联网设备）拦截和解码，然后再将数据发送到服务器上由攻击者控制的远程设备。评估表明，攻击距离可以发生在几米以内。此外，以色列内盖夫网络安全研究中心本-古里安大学研发总监MordechaiGuri博士最近也发表了一篇题为《AIR-FI:从封闭的电脑产生隐蔽的Wi-Fi》的论文。MordechaiGuri表示：AIR-FI攻击不需要Wi-Fi相关硬件，攻击者可以利用DDRSDRAM总线在2.4GHzWi-Fi频段产生电磁辐射，并在其上编码二进制数据。5月初，MordechaiGuri还展示了POWER-SUPPLaY的攻击技术，这是一种单独的机制，使恶意软件能够利用计算机的电源单元(PSU)播放声音并将其用作带外辅助扬声器来泄露数据.测试表明，他称之为POWER-SUPPLaY的攻击方法可用于窃取最远5米（16英尺）距离的数据。研究人员还提到，POWER-SUPPLaY代码可以在普通用户态进程中运行，不需要硬件访问或root权限，不需要调用特殊的系统权限或访问硬件资源，因此具有很高的隐蔽性。气隙计算机，即没有网络接口的计算机，在涉及敏感数据的环境中被认为是必要的，以降低数据泄露的风险。因此，为了对此类系统进行攻击，发送和接收设备通常必须彼此物理接近，并且它们被适当的恶意软件感染以建立通信链路。AIR-FI的独特之处在于，该方法既不依赖Wi-Fi发射器生成，也不需要内核驱动程序、root等权限或访问硬件资源来传输数据。更重要的是，隐蔽通道甚至可以在隔离的虚拟机内工作，并且有无数支持Wi-Fi的设备可供攻击者妥协，使它们成为潜在的接收者。攻击链本身由一台Air-gapped计算机组成，通过社会工程学，攻击者可以部署一些蠕虫，比如Agent.BTZ，一个被篡改的U盘，甚至在恶意内部人员的帮助下，将恶意软件部署到电脑。Agent.BTZ引发了“史上最严重的美军电脑泄露事件”。早在2008年，Agent.BTZ就侵入了美国驻中东中央司令部的网络系统。它可以扫描计算机上的敏感信息并将数据发送到远程命令和控制服务器。众所周知，Agent.btz蠕虫具有大量的变种，并且由于Agent.btz蠕虫通过U盘传播，在全球范围内造成了大规模感染。然而，要成功发起攻击，攻击者还需要通过攻击Wi-Fi芯片的固件来感染位于同一Air-gapped网络中的Wi-Fi设备，从而安装能够检测和解码AIR-的恶意软件。FI通过Internet传输和泄漏数据。软件。通过这种设置，目标系统上的恶意软件将收集相关数据，例如机密文件、凭据、加密密钥，然后使用计算机在Wi-Fi频段中以2.4GHz频率产生的电磁辐射对其进行编码和传输。DDRSDRAM总线用于在CPU和内存之间交换数据，从而破坏了Air-Gapped产生的保护机制。为了生成Wi-Fi，攻击利用数据总线或内存总线以与DDR内存模块和当前在系统上运行的进程执行的内存读/写操作相关的频率发射电磁辐射。攻击者使用四种具有不同RAM和硬件配置的工作站，并使用软件无线电(SDR)和USBWi-Fi网络适配器作为接收器，对AIR-FI进行了评估，发现隐蔽通道可以有效地维持一个在10000000000000000000000000000000000秒的时间内，传输速率为1到100位/秒，具体取决于所用接收器的类型和模式。这项新研究再次提醒人们，电磁、声学、热学和光学组件仍然是攻击媒介，气隙保护并非无懈可击。作为对策，古里博士提出了区域保护的概念来防止电磁攻击，使入侵检测系统可以监视和检查执行密集型内存传输操作，干扰并使用法拉第屏蔽来阻塞隐蔽通道。AIR-FI恶意软件表明，理论上已经存在攻击者通过Wi-Fi将数据从Air-Gapped计算机泄露到附近的Wi-Fi接收器的可能性。现代IT环境配备了多种支持Wi-Fi的设备：智能手机、笔记本电脑、物联网设备、传感器、嵌入式系统、智能手表和其他可穿戴设备。攻击者可以破坏此类设备以接收来自AIR-FI气隙计算机的传输。本文翻译自：https://thehackernews.com/2020/12/exfiltrating-data-from-air-gapped.html如有转载请注明原文地址。