1.前言长期以来,关于网络安全一直存在这样的概念。互联网受到系统、结构和各种复杂环境因素的影响。不安全的因素太多,这是一个在不可信的环境中,各种用户想方设法以实体的形式打造一个封闭的专用或私有的“内网”,一个逻辑上的虚拟专用网络VPN,一个物理上隔离的内网。与外部网络的安全体系相比,内部网络——尤其是物理隔离的内部网络的安全体系可以更加全面和细致。可以采用多种技术手段和行政管理措施,进行强监管、强认证、强加密,确保安全。真的是这样吗?2021年4月10日,伊朗总统哈桑·鲁哈尼在伊朗核技术日在线纪念活动中下令启动纳坦兹核设施近200台IR-6离心机,开始生产浓缩铀(IR-6离心机是10倍生产浓缩铀效率高于第一代IR-1,伊朗纳坦兹核设施的配电系统在次日(4月11日)故障关闭。事故是以色列摩萨德对伊朗核设施进行网络攻击的结果纳坦兹核设施,物理隔离的核设施内部网络一举被攻陷,导致停电二、典型的物理隔离内网攻击事件网络隔离技术分为物理隔离和逻辑隔离。隔离是指两个网络之间没有物理连接,物理隔离需要两套或几套网络ks,一般分为内网和外网。网络。物理隔离的网络通常出现在政府机构、大型企业、军事部门,这些地方通常存放着机密文件或重要的隐私和数据。克服物理隔离的网络通常被视为安全漏洞的圣杯,因为破坏或渗透物理隔离系统是极其困难的。内网与外网隔离,既是系统/企业/单位/部门的核心部分,也是黑客攻击的最终目标。我们一直认为,借助物理网络隔离,在理想情况下,能够有效阻断基于网络路由可达性的传统网络攻击,保证内网隔离环境的安全稳定。它只需要专注于内部网络的管理和控制。然而,从2010年6月发生的“震网”事件彻底颠覆了我们的传统认知。“震网”病毒号称史上最复杂的网络武器,让我们大开眼界。它利用4个Windows0day漏洞,成功用于攻击伊朗封闭网络中核设施的工业控制设备,让世界意识到物理隔离内网并不安全,CSI和FBI对伊朗周边484家遭受网络安全问题的公司进行了专项网络安全调查调查显示,公司5%以上的孤立内网遭到外部黑客攻击破坏。近年来最著名的针对物理隔离网络的攻击:1.DarkHotel-Ramsay2020年5月,国外安全机构ESET发现了一个名为Ramsay的攻击组件,它具有隔离网络攻击的能力。分析,该组件为Darkhotel组织所有,至今已迭代数次。Ramsay组件是一个携带蠕虫模块的打包程序,通过USB移动存储设备在互联网主机和孤立的网络主机之间传递信息,最终实现内网穿透、文件窃取、恶意模块执行、shell执行等功能。2、DarkHotel-AsruexAsruex是一个具有蠕虫感染能力的后门木马。该木马于2015年首次为公众所知,因为它与DarkhotelAPT组织有关。Darkhotel组织曾针对中国和日本的特定从业者。使用此木马。Asruex刚被披露时,人们关注的重点是其PC主机信息收集功能和后门执行功能,并没有深入分析其文件感染能力。直到趋势科技恶意代码研究人员对Asruex木马进行总结分析后,才发现其强大的蠕虫感染能力。通过对感染模块的深入分析,确认Asruex木马具有通过USB渡口进行人为传播的能力。至此,我们可以确认的是,Asruex木马具有收集信息、执行后门、感染USB存储设备文件的能力。它对孤立网络环境的攻击只是我们的猜测。如果将其与严格隔离的网络攻击事件进行比较,则缺乏明显的环境检测环节和可能涉及的渡口信息交互环节。当然,木马的后门功能也可以通过C&C终端下发到Internet上的PC来完成这些缺失的功能。因此,根据已有的分析研究,我们可以初步判断Darkhotel组织的Asruex木马具有初步的隔离网络攻击结构。3、如果说Stuxnet之前的两次攻击事件只具备初步的隔离网络攻击的能力,那么Stuxnet攻击事件中的Stuxnet蠕虫绝对是教科书级的专业隔离网络攻击利器。Stuxnet蠕虫病毒于2010年被国内外多家安全机构披露,虽然十年过去了,但它在今天仍然是核弹级别的网络武器。2010年6月,美国发动的这次袭击是为军事打击摧毁核建设设施的袭击。经过长期的筹划准备和入侵潜伏,震网病毒利用高度复杂的恶意代码和多个零日漏洞作为攻击武器,针对铀离心机造成超压,造成离心机批量损坏,改变离心机转速。铀作为作用机理不能满足武器的要求,最终阻碍了军事敌对国家伊朗的核武器研制和建设。这也是首次公开利用网络武器对孤立的网络工控设备实施攻击并攻击成功的事件。4、Cycldek-USBCulpritUSBCulprit木马于2020年6月被卡巴斯基恶意代码分析团队披露,该木马为CycldekAPT组织所有,2018年被用于定向攻击,准确地说,该木马是一个功能组件(动态链接库DLL),利用USB移动存储设备在不同PC之间交换数据。通过对其进行功能分析,可以确认该木马具有隔离网络数据交互和信息采集的能力。能力。USBCulprit木马是通过无文件攻击技术激活的。抗杀能力较好的loader模块加载指定目录下的加密二进制文件,然后内存解密加载执行。3、物理隔离的内网面临的安全威胁物理隔离的内网不可能不与外界交换数据,因此构建隔离的网络系统注定要牺牲网络数据交换的便利性。为了解决实际生产环境中的数据交换需求,经常会出现一些“不得已”的操作,比如搭建内网跳板映射共享目录,使用移动存储设备进行数据传输等,这些操作相当于间接与Tunnels开辟一条链路进行外部网络通信,从而破坏其物理隔离的完整性。另外,物理隔离的环境会导致被隔离的内网环境的安全更新(漏洞补丁、病毒库等)滞后。从以往的典型攻击事件可以看出,利用移动存储设备对孤立网络进行攻击是主流的攻击手段,也是一项具有挑战性的任务。从攻击者的角度来看,攻击负载的设计需要考虑很多问题:如何应对未知的隔离网络环境?如何防止攻击组件的传播(可移动存储设备并不完全用于孤立的网络)?如何准确进行USB轮渡信息交互(如果需要交互)?如何降低被发现的风险,提高攻击成功率?……所以,在实际攻击中,针对孤立网络进行针对性攻击的幕后黑帮往往是强大的国家级网军团队。除了利用USB等存储设备摆渡进入隔离网络外,还有很多攻击隔离网络的特殊手段,比较典型的有:1、利用U盘作为射频发射器进行攻击。2016年,本古里安大学的研究人员利用U盘突破物理隔离的技术再次升级。他们展示的USBee恶意软件可以使用普通的U盘作为射频(RF)发射器,在物理隔离的主机和攻击者的接收器之间传输数据,从而加载漏洞利用和其他工具,并从目标主机中窃取数据。缺失数据。接收器与目标主机之间的距离可达9英寸,如果安装天线则可以延长两者之间的距离。攻击者找机会将初始恶意软件植入目标主机,物理隔离的目标主机使用U盘,USBee即可工作。2、CPU电磁信号攻击佐治亚理工学院的研究人员花了5年多的时间研究如何利用CPU泄露的电磁信号建立隐蔽通道来突破物理隔离。2013年,他们演示了如何使用这种电磁通道从同一房间中物理上分开的主机接收击键。最近,他们一直在评估CPU指令处理产生的电磁信号可以泄露多少信息,并提供一种测量侧信道能力的方法,以便硬件和软件设计人员可以有一个标准来评估未来针对此类攻击的反制措施的有效性。措施。3.法拉第笼电磁通道攻击安全人员可以通过将高度敏感、物理隔离的系统封闭在法拉第笼中来应对电磁通道威胁。但是法拉第笼的电磁屏蔽并不总是有效。本古里安大学最近的研究表明,法拉第笼也无法阻止目标主机和移动设备接收电磁传输。只要目标主机感染了他们的恶意软件,研究人员限制CPU负载的方式就会让他们产生更强的通量泄漏,从而突破法拉第笼的防御。4.状态LED攻击关键系统物理隔离,但通常仍处于IP摄像机的监视之下。这种手术并不少见。然而,被认为是双重保险的方法可能为攻击者提供了一个完美的渠道来泄露离线主机信息。去年,几个安全团队演示了如何使用LED状态指示灯将信息从未联网的系统传输到IP摄像机。首先,上述专门研究侧通道的本古里安大学团队及其LED-it-GO研究证明,数据可以通过硬盘驱动器LED泄露。然后,中国科学技术大学的研究人员更进一步,编写了可以调节键盘灯闪烁的软件,以人眼无法察觉但被IP摄像机捕获的调制方式泄露数据。在这两种攻击方式中,只要先入侵监控摄像头,并在目标系统中植入恶意软件,就可以成功窃取处于完全隔离环境中的计算机的信息。5.红外遥控攻击今年早些时候,中国科学技术大学的一个研究小组将利用LED的渗透技术提升到了一个全新的水平。他们创建了一个名为IREXF的隐蔽通道,增加了向物理隔离的目标主机发送红外遥感信号的功能,而泄露的路径不仅是IP摄像头,还有很多物联网设备。供应链攻击不是将恶意软件泄露到物理隔离的主机上,而是通过带入目标主机的小型硬件模块建立隐蔽通道,并利用当今许多物联网设备具有的红外遥控功能来传输数据,从而在完全隔离的环境中窃取计算机信息。6.无线电广播和移动设备攻击您知道吗,您每次敲击键盘时,您的显卡都会发出FM无线电信号?本古里安大学的研究人员利用这个系统怪癖开发了AirHopper技术。在2014年的一次演示中,他们使用手机中的FM接收器捕捉用户每次在物理隔离的主机上按下按键时显卡发出的FM无线电信号。最终,该方法演变成无线键盘记录器,能够窃取在孤立系统上输入的信息。7.通过电源线窃取电脑数据如果想让你的电脑真正安全,一定要断开电源线。来自以色列内盖夫本古里安大学的MordechaiGuri和他的侧信道攻击研究团队写了一篇名为《PowerHammer:通过电源线从物理隔离的计算机中泄露数据》的论文,所谓物理隔离是指计算机完全隔离(不连接互联网)的一种机制和任何其他联网设备)以保护数据安全。论文称,这项名为“PowerHammer”的技术是在物理隔离的计算机上安装特定的恶意软件,利用计算机的CPU产生类似于摩尔斯电码的信号,然后通过电力线将数据转换成二进制代码。传播。据研究人员称,根据攻击者使用的具体方法,数据可能以每秒10位到1000位的速度泄露。如果攻击者可以将电缆直接连接到计算机的电源,则可以更快地泄露数据。这种类型的攻击称为“线级powerhammering”。如果攻击者只能访问建筑物的电力服务配电盘,则数据泄露的速度会减慢,这种攻击称为“相级电锤攻击”。其中,“Line-levelPowerHammering”攻击适用于搭载IntelHaswell芯片的电脑和搭载IntelXeonE5-2620芯片的电脑。前者数据读取速度可达1000bps;后者的数据读取速度可达100bps,零误码率。“Phase-levelpowerhammering”攻击的性能要差得多。由于其他设备电信号的干扰,零错误率的数据读取速度仅为3bps。如果速度增加到10bps,错误率将达到4.2%。8.扬声器和耳机秘密传输数据电脑扬声器和耳机可以充当秘密的小麦克风,通过超声波接收数据并发回信号,使得物理隔离的敏感计算机系统不如表面上看起来那么安全。2018年3月9日,以色列本古里安大学的研究人员在ArXiv上发表了一篇学术论文,描述了一种创新的数据渗漏技术,该技术使用听不见的超声波进行数据传输和接收,可以在同一房间内使用,无需麦克风发送并在两台计算机之间接收数据。论文题目是《MOSQUITO:利用扬声器间通信在物理隔离计算机之间进行隐秘超声传输》。撰写本文的研发团队专门研究侧信道攻击技术,开发了一系列物理隔离主机之间的数据传输方式。示例包括:ODINI-使用电场在法拉第静电屏蔽的计算机之间传输数据的技术;MAGNETO——利用电场在物理上分离的计算机和智能手机之间传输数据的技术;和FANSMITTER-使用风扇物理分离计算机之间发送音频数据的方法的技术。这种隐蔽的数据传输方式都是基于美国国家安全局的TEMPEST攻击。TEMPEST攻击利用电子设备发出的电磁辐射、磁场、声音、光和热来收集和传输数据。MOSQUITO演示了扬声器可以用来在相距9米的未连接计算机之间秘密传输数据。此外,使用这种方法,不带麦克风的耳机也可以用作数据泄露工具。据研究人员称,这是世界上第一种耳机之间隐蔽通信的方法。该论文解释说,扬声器可以被认为是反向工作的麦克风:扬声器将电信号转换为声信号,麦克风将声信号转换为电信号。之所以声电转换过程可以逆转,是因为两者都使用振膜辅助转换。使用18kHz至24kHz范围内的音频,研究人员能够在3米的距离内以每秒166位的速率传输1KB的二进制文件,传输错误率为1%。要在4到9米的距离内实现相同的低错误率,传输速度必须降至每秒10位,这主要是由于环境噪声的干扰。9、利用以太网电缆从孤立的计算机中窃取数据以色列内盖夫本古里安大学的研究人员发现了一种名为LANtenna的新型电磁攻击方法,它使用以太网电缆作为传输天线从孤立的计算机中窃取数据。从您的计算机窃取敏感数据。“恶意代码可以在物理上分离的网络上的计算机中收集敏感数据,并通过作为天线的以太网电缆发送编码的无线电波,”该大学网络安全研究中心研发主任MordechaiGuri说。接收设备可以无线拦截信号,解码数据,并将其发送给攻击者。通常,隔离网络比传统网络更安全,因为它的基础设施在物理上是分离的。许多大型工业公司(如电力、石油和天然气公司)以及政府机构和军队都使用物理上隔离的网络。Guri表示,LANtenna允许攻击者从以太网电缆发射125MHz频段的电磁波,将敏感数据从隔离网络泄漏到几米外的位置。四、物理隔离内网安全建议构建隔离的内网安全防护体系,并不意味着就安全了。根据Ramsay等恶意软件对孤立网络环境的攻击,其目的是进行各种网络窃取活动,攻击者将收集到的信息直接写入到不易于查看的存储介质上的文件中。可见,攻击和收款行为极具隐蔽性和威胁性。孤网攻击的特点和过程如下:(1)最初通过鱼叉式钓鱼、水坑攻击、供应链攻击等方式攻击一台暴露在公网上的主机(2)横向渗透到一台作为中转机的机器中(本机具有公网与隔离网文件之间的摆渡等功能),传递感染文件(包括文档文件,可执行文件等),收集信息等恶意插件模块。(3)监控传输机上的可移动磁盘,感染可移动磁盘上的文件。(4)可移动磁盘进入隔离网络。如果隔离网络中的机器执行被感染文件,则该机器上的相关信息将被收集并写入可移动磁盘的磁盘扇区或文件文档文件的末尾。(5)当可移动磁盘再次插入传输机时,传输机上的其他恶意插件会收集存储在可移动磁盘特定扇区中的机密信息,并将其发送回攻击者控制的服务器。(6)此外,攻击者还会下发一个文件作为控制函数,在控制文件中写入相关指令和操作命令,然后通过移动设备摆渡到隔离网络,然后分析执行它。为此,建议特别注意以下安全措施,加强对黑客入侵的防御和防范:(1)通过官方渠道或正规软件分发渠道下载相关软件,并确保所用软件和文档的来源在隔离网络中安装是可靠的。(2)严禁连接公网。如果您必须连接到公共网络,建议不要进行可能泄露机密信息或私人信息的操作,例如收发电子邮件、即时(IM)通信,甚至升级常用软件的操作。(3)可能连接到孤立网络的系统,不要轻易打开来自未知来源的电子邮件附件。(4)对于需要在隔离网络环境下使用的移动存储设备,需要特别注意安全检查,防止恶意程序通过插入移动媒体进行传播。(5)漏洞扫描和修复系统必须非常可靠,及时安装系统补丁和重要软件补丁。(6)及时升级杀毒软件,防止病毒和木马攻击。(7)孤立网络中的计算机操作人员仍需提高安全意识,注意封闭的孤立网络并不意味着绝对安全。
