以色列内盖夫的本古里安大学网络安全研究中心研发负责人 Mordechai Guri 博士团队再次颠覆我们的认知,又一次找到绕过网闸的方法。一种设计用于泄漏信息和跳过网闸的新方法利用串行高级技术附件 ( SATA ) 或串行 ATA 电缆作为通信介质,增加了一长串电磁、磁、电、光学和声学方法被证明是为了掠夺数据。
Mordechai Guri 博士称虽然网闸计算机没有无线连接,但他们表明攻击者可以使用 SATA 电缆作为无线天线来传输 6GHz 频段的无线电信号。这种被称为SATAn的技术利用了计算机总线接口的普遍性,使其“在广泛的计算机系统和 IT 环境中非常容易被攻击者使用”。
简而言之,目标是使用 SATA 电缆作为隐蔽通道来发射电磁信号,并将少量敏感信息从高度安全的气隙计算机无线传输到 1m 以外的附近接收器。
网闸是与任何其他网络物理隔离以提高其安全性的网络。网闸被视为保护高价值系统的重要机制,这些高价值系统对以间谍为动机的威胁行为者非常感兴趣。正如,近年来,针对关键任务控制系统的攻击的数量和复杂程度都在增加,正如最近在Industroyer 2和PIPEDREAM(又名 INCONTROLLER)的案例中所观察到的那样。
自 2020 年初以来,Guri 博士对提出从离线网络中提取敏感数据的新技术,研究人员炮制了四种不同的方法,利用各种侧通道偷偷地窃取信息。其中包括BRIGHTNESS(LCD 屏幕亮度)、POWER-SUPPLaY(电源单元)、AIR-FI(Wi-Fi 信号)和LANtenna(以太网电缆)。
与通过鱼叉式网络钓鱼或水坑来破坏传统网络不同,破坏网闸需要更复杂的策略,例如供应链攻击、使用可移动媒体(例如USBStealer和USBFerry)或流氓内部人员植入恶意软件。
对于以窃取机密信息、财务数据和知识产权为目标的对手来说,最初的渗透只是攻击链的开始,随后是侦察、数据收集和通过包含活动 SATA 接口的工作站的数据泄露。
在最后的数据接收阶段,传输的数据通过隐藏的接收器捕获,或者依靠组织中的恶意内部人员在气隙系统附近携带无线电接收器。Guri 博士解释说:“接收器监控 6GHz 频谱的潜在传输、解调数据、解码数据并将其发送给攻击者。”
作为对策,建议采取措施防止威胁行为者获得初始立足点,使用外部射频 (RF) 监控系统从网闸网络中检测 6GHz 频段的异常情况,或者使用检测到可疑的隐蔽通道活动时的随机读写操作。
当然,所有攻击都不是单一的,多种攻击技术的综合体的复杂才是我们最担心的。这些技术的发现,也从一个侧面反映了那句话:没有百分之百的安全。很多风险对我们防守方来说是“未知的”,但是对攻击者来说是“已知的”,所以未知的盲目自信和已知的真实自信之间,又多了一道攻防不对等的关系。孙子兵法说,多算胜少算,而况于无算乎!这里的“算”是分析谋划之意,既然是分析谋划自然要基于已掌握的数据和信息展开,多算胜过少算,诚不我欺!
原文始发于微信公众号(祺印说信安):绕过网闸新方法:使用 SATA 电缆作为天线传输无线电信号
