物理隔离内网面临的安全挑战
发布时间:2022-08-01 11:57:03 所属栏目:安全 来源:互联网
导读:1、前 言 一直以来,关于网络安全存在这样一个理念,互联网受制于体系、架构以及各种复杂环境因素的影响,存在太多的不安全因素,是一个不可信的环境,为此各种不同用户极尽全力营造一个封闭的专用或私有内网,逻辑方式的虚拟专网 VPN、实体方式的物理隔离内
|
1、前 言 一直以来,关于网络安全存在这样一个理念,互联网受制于体系、架构以及各种复杂环境因素的影响,存在太多的不安全因素,是一个不可信的环境,为此各种不同用户极尽全力营造一个封闭的专用或私有“内网”,逻辑方式的虚拟专网 VPN、实体方式的物理隔离内网。 内网—特别是物理隔离的内网其安全体系与外网安全体系相比,可以做得更加全面和细致,它可以采用各种技术手段和行政管理措施来进行强监管、强认证、强加密,确保其万无一失。事实果真如此吗? 2021 年 4 月 10 日,伊朗总统鲁哈尼在伊朗核技术日线上纪念活动上下令启动纳坦兹核设施内的近 200 台 IR-6 型离心机,开始生产浓缩铀(IR-6型离心机生产浓缩铀的效率是第一代 IR- 1 型的 10 倍,而就在开始生产浓缩铀后, 伊朗纳坦兹核设施的配电系统就在第二天(4 月11 日)发生故障。该次事故是以色列摩萨德是对伊朗伊朗纳坦兹核设施进行的网络攻击的结果,物理隔离的核设施内网被一举攻下导致了该次断电。 2、针对物理隔离内网的典型攻击事件 网络隔离技术分为物理隔离和逻辑隔离,物理隔离就是将两个网络物理上互不连接,物理隔离需要做两套或者几套网络,一般分为内、外网。 物理隔离的网络通常出现在政府机构、大型企业以及军事部门中,它们通常存储着保密的文件或重要隐私及数据。攻克物理隔离网络通常被视为安全漏洞的圣杯,因为破坏或渗透物理隔离系统的难度极大。 内网隔离于外界网络,不仅是系统/企业/单位/部门最核心的部分, 同时也是黑客攻击的最终目标。一直以来,我们都认为借助物理层面的网络隔离,在理想情况下可以有效地阻断传统的基于网络路由可达的网络攻击、确保隔离内网的环境的安全稳定,只要集中精力做好内部网络管控即可。 然而, 从 2010 年 6 月的“震网”事件开始彻底颠覆了我们的传统认知。“震网”病毒被称为有史以来最复杂的网络武器,让我们大开眼界。它使用了4 个Windows 0day 漏洞,成功地被用于攻击伊朗的封闭网络中的核设施工控设备,让全世界认识到了物理隔离内网并不安全。 CSI、FBI 曾经对全球曾经遭受过网络安全问题的 484 家公司进行过网络安全专项调查,调查显示出有超过 5%的公司隔离内网遭到过外部黑客的攻击和破坏。 近年来,最著名的几起针对物理隔离网络的攻击事件: 2.1 DarkHotel-Ramsay 2020 年 5 月,国外安全机构ESET发现了一款名为Ramsay 的攻击组件,该组件具备隔离网络攻击能力,经关联分析,该组件为Darkhotel 组织所有,至今已存在多个迭代版本。Ramsay 组件为携带蠕虫模块的打包器程序,通过 USB 移动存储设备进行互联网主机与隔离网络主机之间的信息摆渡,最终实现内网渗透、文件窃密、恶意模块执行、 shell 执行等功能。 2.2 DarkHotel-Asruex Asruex 是一款附带蠕虫感染能力的后门类型木马,该木马最早于 2015年因被关联到 Darkhotel APT 组织而被公众熟悉, Darkhotel 组织在针对中日国家特定从业人员的定向攻击中曾使用了该木马。 Asruex 最开始被披露时,人们关注的重点为它的 PC 主机信息收集功能和后门执行功能, 它的文件感染能力并没有深入分析。直到后续趋势科技的恶意代码研究人员在总结分析 Asruex 木马时,才发现其强大的蠕虫感染能力。通过对感染模块的深入分析,证实了 Asruex 木马具备借助 USB 摆渡实现人力传播的能力。 到现在为止,我们能确定的只是 Asruex 木马具备信息收集、后门执行、USB 存储设备中文件感染的能力。其对于隔离网络环境的攻击只是我们的猜测,如果比对严格的隔离网攻击事件的话,其缺少明显的环境探测环节以及可能会涉及的摆渡信息交互环节。当然该木马的后门功能部分可以在互联网 PC 机器上通过 C&C 端下发组件去完善这些缺失的功能,所以基于已有的分析研究我们可以初步判定Darkhotel组织的Asruex木马具备初步的隔离网攻击结构。 2.3 Stuxnet 如果说前面两个攻击事件只是初步具备隔离网攻击能力, 那么震网攻击事件中的 Stuxnet 蠕虫绝对是教科书级别的专业隔离网络攻击武器。 Stuxnet蠕虫于 2010 年被国内外多家安全机构披露, 虽然至今已过去十年时间,但是其放在今天依然是核弹级别的网络武器。 2010 年 6 月, 美方所发起的该起攻击事件是一起出于军事打击的摧毁核建设设施的攻击活动。震网活动经过长期规划准备和入侵潜伏作业,借助高度复杂的恶意代码和多个零日漏洞作为攻击武器,以铀离心机为攻击目标,以造成超压导致离心机批量损坏和改变离心机转数导致铀无法满足武器要求为致效机理,最终阻断了军事敌对国伊朗的核武器研发建设。这也是首起被披露的借助网络武器实施隔离网络工控设备攻击而且攻击成功的事件。 2.4 Cycldek-USBCulprit USBCulprit 木马由卡巴斯基恶意代码分析团队在 2020 年 6 月份披露,该木马为 Cycldek APT 组织所有,并且在 2018 年的定向攻击事件中投入使用。准确来讲, 该木马是一个借助 USB 移动存储设备进行不同 PC 机器之间数据交互的功能组件(动态链接库 DLL),通过对其进行功能分析能够确认该木马具备隔离网络数据交互、信息收集的能力。 USBCulprit 木马采用无文件攻击技术启用, 由一个免杀能力较好的加载器模块加载指定目录下的加密二进制文件,然后内存解密装载执行。 3、物理隔离内网面临的安全威胁 物理隔离内网不可能不与外界交互数据, 因此隔离网络系统的建设注定要牺牲网络数据交换的便捷性。为了解决实际生产环境中的数据交换需求,经常会出现一些“不得已”的操作, 譬如搭建内网跳板机映射共享目录、使用可移动存储设备进行数据摆渡等,这些操作相当于间接打通了一条与外网通信的隧道,从而破坏其物理隔离的完整性。除此之外,物理隔离环境会导致隔离内网环境的安全更新(漏洞补丁、病毒库等)滞后。 从前面几起典型的攻击事件可见, 借助移动存储设备摆渡实现对隔离网络的攻击是主流的攻击手段,也是具有挑战性的任务。站在攻击方角度,攻击载荷的设计需要考虑众多问题: 如何应对未知的隔离网环境?如何防止攻击组件的扩散(可移动存储设备并非完全用于隔离网络)?如何准确地进行 USB 摆渡信息交互(如果需要交互的话) ?如何降低被发现的风险并且提升攻击成功率? …所以, 在实际攻击中, 针对隔离网络的定向攻击活动的幕后团伙往往是实力强大的国家级网军队伍。 对隔离网络的攻击除采用 USB 等可存储设备摆渡进入隔离网络外,目前还存在诸多特别手段,比较典型的: 3.1 U 盘用作射频发射器开展攻击 2016 年,本古里安大学研究人员利用 U 盘突破物理隔离的技术再次升级。他们展示的 USBee 恶意软件可将普通正常 U 盘用作射频(RF)发射器,在物理隔离的主机和攻击者的接收器间传递数据,进而加载漏洞利用程序和其他工具,以及从目标主机渗漏数据。接收器与目标主机之间的距离最长可达 9 英寸,如果架上天线,二者之间的距离还能更延长。攻击者找机会将初始恶意软件植入目标主机, 且该物理隔离的目标主机使用 U 盘,USBee 即可起效。 3.2 CPU 电磁信号攻击 佐治亚理工学院的研究人员花了 5 年多的时间研究如何利用 CPU泄露的电磁信号建立隐秘信道突破物理隔离。 2013 年他们就演示了该电磁信道用于拾取同一房间内物理隔离主机击键信息的方法。最近,他们一直在评估通过 CPU 指令处理所产生的电磁信号到底能渗漏多少信息, 并提供衡量边信道能力的方法,以便软硬件设计者能有个标准来评估未来应对此类攻击的反制措施的有效性。 3.3 法拉第笼的电磁信道攻击 安全人员对电磁信道威胁的响应可能是将高度敏感的物理隔离系统置入法拉第笼中。但法拉第笼的电磁屏蔽并非总是有效。本古里安大学最近的研究表明,法拉第笼也挡不住目标主机和移动设备接收电磁传输信号。只要目标主机感染了他们的恶意软件即可, 研究人员调节 CPU 负载的方式让他们能够产生更强的磁漏,从而突破法拉第笼的防御。 3.4 LED 状态指示灯攻击 关键系统物理隔离, 但通常仍处在 IP 摄像头监视之下。这种操作并不少见。然而,本以为是双保险的做法, 却可能为攻击者提供了完美的离线主机信息渗漏渠道。 去年,数支安全团队演示了利用 LED 状态指示灯从未联网系统中传输信息到 IP 摄像头的方法。首先,上面提到过的本古里安大学那支专门研究边信道的团队, 他们的 LED-it-GO 研究证明,可通过硬盘 LED 指示灯渗漏数据。然后,中国科技大学的研究人员更进一步,写出了能调整键盘灯闪烁的软件,能够以人眼察觉不到但 IP 摄像头能捕获到的调制方式泄露数据。两种攻击方法都是只要先黑进监视摄像头,且在目标系统植入恶意软件,即可成功窃取完全隔离环境下计算机的信息。 3.5 红外遥控攻击 今年早些时候, 中国科技大学的研究团队将利用 LED渗透提升到了全新的高度。他们打造了名为IREXF 的隐秘信道,给物理隔离的目标主机增加了发送红外遥感信号的功能,且渗漏途径不仅仅是 IP 摄像头,很多 IoT设备都可以。 代替恶意软件成为物理隔离主机上进行渗漏的是经供应链攻击,通过目标主机带入的小小硬件模块,建立隐秘信道,利用如今很多 IoT 设备都具备的红外遥控功能来传输数据,从而窃取完全隔离环境下的计算机信息。 (编辑:我爱故事小小网_铜陵站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330570号