网络研究人员证明,黑客可以通过一种利用Wi-Fi信号作为隐蔽通道的新颖技术从气隙隔离的计算机中窃取敏感数据,这令人惊讶的是,不需要在目标系统上使用Wi-Fi硬件。
该攻击被称为“ AIR-FI ”,其攻击在于在受感染的系统中部署经过特殊设计的恶意软件,该系统利用“ DDR SDRAM总线在2.4 GHz Wi-Fi频带中产生电磁辐射”,并在这些频率之上传输信息,然后可以对其进行拦截。并由附近具有Wi-Fi功能的设备(例如智能手机,笔记本电脑和IoT设备)进行解码,然后再将数据发送到攻击者控制的远程服务器。
国际知名白帽黑客、东方联盟创始人郭盛华表示:“ AIR-FI攻击不需要气隙计算机中与Wi-Fi相关的硬件。相反,攻击者可以利用DDR SDRAM总线在2.4 GHz Wi-Fi频段中产生电磁辐射,并在其之上对二进制数据进行编码。”
安全人员在5月初还演示了POWER-SUPPLaY,这是一种独立的机制,该恶意软件可以利用该机制利用计算机的电源单元(PSU)播放声音并将其用作带外辅助扬声器泄漏数据。
带有气隙的计算机(无网络接口的计算机)在涉及敏感数据的环境中被认为是必不可少的,以降低数据泄漏的风险。
因此,为了对这样的系统进行攻击,通常至关重要的是,发送和接收的机器必须彼此物理上接近,并且它们被适当的恶意软件感染以建立通信链接。
但是AIR-FI的独特之处在于,该方法既不依赖Wi-Fi发射机来生成信号,也不需要内核驱动程序,root等特殊特权或访问硬件资源来传输数据。
更重要的是,隐蔽通道甚至可以在隔离的虚拟机中运行,并且具有无穷无尽的可启用Wi-Fi的设备列表,攻击者可以将其入侵,以充当潜在的接收者。
查杀链本身由一台空白计算机组成,通过社交工程诱饵,自我传播的蠕虫(如Agent.BTZ),被篡改的USB闪存驱动器甚至在恶意内部人员的帮助下,将恶意软件部署到该计算机上。
它还需要通过破坏Wi-Fi芯片的固件来感染位于同一空隙网络中的Wi-Fi设备,以安装能够检测和解码AIR-FI传输并通过Internet泄露数据的恶意软件。
使用此设置后,目标系统上的恶意软件将收集相关数据(例如,机密文档,凭据,加密密钥),然后使用从计算机生成的电磁辐射在Wi-Fi频段以2.4 GHz频率对其进行编码和传输。 DDR SDRAM总线用于在CPU和内存之间交换数据,从而破坏了气隙隔离。
为了生成Wi-Fi信号,攻击会利用数据总线(或内存总线)以与DDR内存模块相关的频率以及由系统当前运行的进程执行的内存读/写操作发射电磁辐射。
使用具有不同RAM和硬件配置的四种类型的工作站以及用作接收器的软件定义的无线电(SDR)和USB Wi-Fi网络适配器对AIR-FI进行了评估,发现可以有效维护隐蔽通道距气隙计算机的距离可达几米,并根据所使用的接收器的类型和模式,获得的比特率范围为1到100比特/秒。
如果有的话,这项新的研究再次提醒人们,电磁,声,热和光学组件仍然是有利可图的媒介,可以对气密性设施进行复杂的渗透攻击。
作为对策,研究人员提出了区域保护措施,以防止电磁攻击,从而使入侵检测系统可以监视和检查执行密集的内存传输操作,干扰信号以及使用法拉第屏蔽来屏蔽隐蔽通道的过程。
他补充说,AIR-FI恶意软件显示“攻击者如何通过Wi-Fi信号将数据从气隙隔离的计算机中窃取到附近的Wi-Fi接收器。现代IT环境配备了许多类型的具有Wi-Fi功能的设备:智能手机,笔记本电脑,IoT设备,传感器,嵌入式系统,智能手表以及其他可穿戴设备。攻击者可能会入侵此类设备来接收AIR-FI气隙计算机的信号传输。” (欢迎转载分享)