U盤？“憂”盤！

本期關鍵詞：物理隔離 USB 網絡攻擊

長久以來，物理隔離網絡被認爲是阻斷外部攻擊的有效方式，但封閉的隔離網絡並不意味着絕對安全。由於網絡維護、數據交互等原因，隔離網絡無法阻斷物理介質數據傳輸和物理設備的接入。美國國家安全局就曾經設法將植入“震網”病毒的U盤，插入伊朗與互聯網物理隔絕的核設施內部網，造成數千臺離心機罷工，重創了伊朗核計劃。捷克安全研究人員則發現，APT組織大多采用U盤擺渡方式攻擊物理隔離的目標內網，並沒有發現有APT組織曾經成功利用電力線、光波等方式實施過攻擊。

相關研究人員指出，保護物理隔離內網，除了要禁用U盤，還需要定期修復隔離系統和軟件的安全漏洞，並定期分析隔離系統中是否有任何可疑活動的跡象。

圖片來源於網絡

一、ESET公司報告稱攻擊隔離網的武器均以U盤爲介質

Air gap即物理隔離，指的是封閉的計算機網絡或獨立的安全隔離網絡，通俗來講就是將計算機放在一個物理斷網的環境中，這種狀態常見於政府、軍隊或企業等對安全有高度需求的環境中，用於存儲機密文件、知識產權等敏感數據。

斯洛伐克網絡安全公司ESET日前發佈題爲《跨越隔離網絡（Jumping the air-gap）》的報告。該報告指出，僅在2020年上半年，研究人員就發現了四種不同的用於攻擊隔離（air-gapped）網絡的惡意框架（即武器，編者注），而此類工具包的總數達到17個。所有的框架都被設計成執行某種形式的間諜活動，且都使用USB驅動器作爲物理介質，在目標隔離網絡中傳輸數據。超過百分之七十五的框架是利用 USB驅動器上的惡意LNK或AutoRun文件對實體隔離系統進行初步破壞，或者在實體隔離網絡中橫向移動。

框架包括“連接框架”和“離線框架”，二者的主要區別在於驅動器是否是武器化的。連接框架通過在連接系統中部署惡意組件來操作，該系統可監視新的USB驅動器的插入，並自動將攻擊代碼植入到隔離網絡中，而像Brutal Kangaroo、EZCheese和 Project Sauron這樣的離線框架，則是攻擊者先感染自己的USB驅動器，再利用第三方將USB插入擬攻擊的隔離網絡設備中。

以下是該研究得出的關鍵發現：

（一）所有框架都旨在執行某種形式的間諜活動。

（二）所有框架都使用USB驅動器作爲物理傳輸介質來將數據傳入或者傳出物理隔離網絡。

（三）研究人員沒有發現任何實際或懷疑使用聲音或電磁信號等隱蔽物理傳輸介質的情況。

（四）超過75%的框架使用USB驅動器上的惡意LNK或自動運行文件在隔離網絡建立第一個立足點或者進行橫向移動。

（五）Windows中超過10個與LNK相關的威脅級別爲“嚴重”的遠程代碼執行漏洞，在過去10年中被發現，然後被微軟修補。

（六）所有框架都是爲攻擊Windows系統而構建的。

ESET公司《跨越隔離網絡》報告

二、攻擊者通過U盤攻擊突破物理隔離網絡的方法及成功案例

（一）“震網”病毒攻擊伊朗核設施

“震網”病毒是一種首次發現於2010年的惡性蠕蟲電腦病毒，其攻擊的目標是工業上使用的可編程邏輯控制器（PLC）。據稱，攻擊的幕後指使者是美國中央情報局和以色列情報機構摩薩德，他們指使荷蘭情報人員招募了一名伊朗工程師，並命令其使用U盤將惡意代碼植入到伊朗納坦茲核工廠的系統中。“震網”病毒大約感染了全球超過20萬臺電腦，更是摧毀了伊朗核工廠五分之一的離心機。“震網”病毒的感染途經是通過U盤傳播，然後修改PLC控制軟件代碼，使PLC向用於分離濃縮鈾的離心機發出錯誤的命令。2010年，在“震網”病毒的肆虐下，伊朗納坦茲的核工廠裡可用的離心機數量從4700臺降低到3000多臺，這充分展現了U盤自動運行攻擊的巨大破壞力。

（二）美國利用COTTON-MOUTH竊取伊朗秘密數據

USB端口只要啓用，就會給攻擊者留下了無窮的機會。COTTON MOUTH（水腹蛇）是2009年美國國家安全局開發出來的U盤攻擊工具，2014年傳入公網，其內部包含了一套ARMv7芯片和無線收發裝置，當它被插入目標主機後，會植入惡意程序並創建一個無線網橋，配套的設備可通過RF信號與其進行交互，實施命令及數據傳輸。COTTON MOUTH同樣也被用於攻擊伊朗的秘密機構，在長達數年的時間裡從物理隔離的設備中竊取數據。

（三）Agent.btz蠕蟲病毒攻擊美軍方中央司令部

2008年，美國軍方計算機網絡被一種稱爲Agent.btz的蠕蟲病毒入侵，這種病毒來自於駐紮在阿富汗的一臺筆記本電腦，通過U盤傳播入侵了美國中央司令部位於中東地區的網絡系統。Agent.btz掃描並盜取了美國國務院和國防部的秘密材料，然後把這些絕密信息傳遞給攻擊者。美軍隨後下達禁令，不允許官兵在任何軍方電腦上使用U盤或其他外置存儲裝置。

由於Agent.btz病毒通過U盤進行傳播，這使得它在全球範圍內造成了大面積感染。從卡巴斯基實驗室的數據來看，2013年該實驗室已在100個國家的1萬多個系統中發現了Agnet.BTZ。由此，卡巴斯基實驗室的專家們得出一個結論，在世界範圍內可能有數萬U盤被Agent.BTZ感染，這些U盤中含有名爲thumb.dd的文件，文件中包含有被入侵系統的相關信息的文件。

（四）U盤被用作射頻(RF)發射器

2016年，以色列本古裡安大學研究人員利用U盤突破物理隔離的技術再次升級。他們展示的USBee惡意軟件可將普通正常U盤用作射頻(RF)發射器，在物理隔離的主機和攻擊者的接收器間傳遞數據，進而加載漏洞利用程序和其他工具，以及從目標主機滲漏數據。接收器與目標主機之間的距離最長可接近23釐米，如果架上天線，二者之間的距離還能更加延長。攻擊者必須找機會將初始惡意軟件植入目標主機，且該物理隔離的目標主機還要使用U盤，USBee纔可以起效。

具備從物理隔離網絡中竊取數據的能力已被認爲是“頂級”APT組織的標配。美國APT組織ProjectSauron能夠利用定製的USB存儲驅動器從物理隔離網絡中竊取數據，這種USB存儲驅動器可將數據存儲在操作系統不可見的區域。ProjectSauron組織又名Strider、Sauron、APT-C-16、索倫之眼和神行客，最早於2011年6月被發現，並一直活躍至2016年8月。其攻擊的目標包括中國、伊朗、俄羅斯、比利時、盧旺達、瑞典，涉及的行業包括軍事、金融、政府、科研、電信、航空和外交等等。

當然，在實驗室環境下也有其他成功的攻擊方法。以色列的研究人員已經完成了幾十個在物理斷網環境中利用非傳統方式竊取敏感數據的研究項目，比如利用電磁波隱蔽信道、利用光波隱蔽信道、利用熱量隱蔽信道、利用聲波隱蔽信道，以及利用硬盤狀態指示燈，控制硬盤讀寫操作通過聲波來竊取數據等等。此類技術被安全研究人員稱爲“隔空取物”，因爲它們並沒有侵入電腦，而是用防禦者意想不到的方式偷走數據。不過上面列出的數據竊取方法非常複雜，傳輸距離也很有限，因此很難在實際網絡攻擊中使用。

“震網”病毒攻擊伊朗核設施 圖片來源：freebuf

三、對加強隔離網絡安全的建議

封閉的物理隔離網絡並不意味着絕對安全。雖然隔離了網絡訪問，但由於網絡維護、數據交互等原因，無法阻斷物理介質數據傳輸和物理設備的接入，如光盤、U盤等移動數據載體，鍵盤、鼠標等硬件設備，或者筆記本電腦、臨時熱點等未按規定接入等，這些行爲都極有可能成爲突破隔離網絡的橋樑。

（一）卡巴斯基給出的建議

卡巴斯基安全研究人員阿列克謝·費拉蓬托夫在2020年6月的報告中針對以上問題給出瞭如下建議：

1、將包含隔離計算機的場所獨立分區，設備之間也要保持相互間隔。

2、屏蔽房間，或將計算機放置在法拉第籠（Faraday Cage，是防止電磁場進入或逃脫的金屬外殼）內。

3、自行測量計算機的磁輻射，並注意異常情況。

4、限制或禁止使用揚聲器。

5、禁用所有計算機音頻設備。

6、使用隔離計算機在場所內產生聲音干擾。

7、限制監控攝像機的紅外功能（但這會降低攝像機在黑暗環境中的有效性）；

8、禁用隔離計算機上的 USB 端口以防止感染病毒。

（二）ESET公司給出的建議

1、阻止在連接互聯網的主機上訪問電子郵件。

2、禁用隔離網絡的USB端口。

3、在插入主機前對USB驅動器進行殺毒。

4、限制USB上的文件執行。

5、定期更新隔離網絡系統。

5、監測針對隔離網絡一側主機的非法操作。

（三）我們的建議

1、封閉互聯網和隔離網絡USB接口。

2、拆除物理隔離計算機、打印機、掃描儀等設備的無線網卡，防止出現利用無線的離線攻擊。

3、禁用自動播放。

4、做好涉密主機電磁泄露防護。

5、對供應鏈進行嚴格管理，防止攻擊者對設備芯片和物理配件進行更替。在機房裝修時，也要防止出現上述情況。

（參考來源：國內外網絡安全網站）