最近,韩国的研究人员模拟了对某些固态驱动器(SSD)的一系列攻击,这些攻击可能允许恶意软件以用户和安全解决方案都无法使用的方式植入可以触摸的位置。该攻击模型以具有灵活容量功能的驱动器为目标,并以设备上称为过度配置的隐藏区域为目标,如今SSD制造商广泛使用该区域来优化基于NAND闪存的存储系统的性能。硬件级攻击提供最终的持久性和隐蔽性。高级攻击者过去曾尝试过对机械硬盘驱动器进行此类攻击,将恶意代码隐藏在无法访问的磁盘扇区中。SSD的工作原理弹性容量是SSD中的一项功能,它使存储设备能够自动调整原始空间和用户分配空间的大小,以通过吸收写入工作负载量来实现更好的性能。它是一个动态系统,可以创建和调整称为过度配置的空间缓冲区,通常占总磁盘容量的7%到25%。当用户启动不同的应用程序时,SSD管理器会根据工作负载自动调整此空间,具体取决于它们的写入或读取密集程度。操作系统及其上运行的任何应用程序(包括安全解决方案和防病毒工具)都看不到过度配置的区域。首尔高丽大学的SSD攻击模型研究人员模拟了针对无效数据区域的攻击,其中未擦除信息位于可用SSD空间和保留空间(OP)区域之间,其大小取决于两者。其研究论文解释说,黑客可以使用固件管理器更改OP区域的大小,从而导致可利用的无效数据空间。这里的问题是,许多SSD制造商为了节省资源而选择不擦除无效数据区域。假设断开映射表链接就足以防止未经授权的访问,那么这个空间可以在很长一段时间内保持充满数据。因此,利用此弱点的威胁行为者可以获得对潜在敏感信息的访问权限。据研究人员称,NAND闪存的数字取证可以揭示过去六个月内未被删除的(无效数据区)数据。在另一种攻击模型中,威胁行为者将OP区域用作用户无法监控或擦除的秘密位置,并将恶意软件隐藏在那里。它的研究论文将这种攻击描述为:假设两个存储设备SSD1和SSD2连接到一个通道。每个存储设备有50%的OP区域。黑客将恶意代码存入SSD2后,立即将SSD1的OP区缩小到25%,将SSD2的OP区扩大到75%。此时,恶意软件代码被包含在SSD2的一个隐藏区域中。获得SSD访问权限的黑客可以随时通过调整OP区域的大小来激活嵌入的恶意代码。由于普通用户在频道上保持100%的用户区域,黑客的这种恶意行为不易被发现。这种攻击的明显优势是它是隐蔽的。在OP区域检测恶意代码不仅耗时,而且需要高度专业化的取证技术。防御对策作为对第一次攻击的防御,研究人员建议SSD制造商使用不影响实时性能的伪擦除算法擦除OP区域。对于第二次攻击,针对OP区域恶意软件注入的潜在有效安全措施是实施有效-无效数据率监控系统,实时观察SSD内部的比率。当无效数据的比例突然大幅增加时,可以警告用户并选择OP空间的可验证数据擦除功能。最后,SSD管理应用程序应该具有强大的防御能力来防止未经授权的访问。研究人员进一步解释说,“即使不是恶意黑客,被误导的员工也可以通过使用OP区域变量固件/软件轻松释放隐藏信息并随时泄漏”。虽然研究表明SSD上的OP区域可用于存储恶意软件,但目前此类攻击不太可能在野外发生。相关论文:https://arxiv.org/ftp/arxiv/papers/2112/2112.13923.pdf【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id):gooann-sectv)获取授权】点此阅读作者更多好文
