U盘？“忧”盘！

本期关键词：物理隔离 USB 网络攻击

长久以来，物理隔离网络被认为是阻断外部攻击的有效方式，但封闭的隔离网络并不意味着绝对安全。由于网络维护、数据交互等原因，隔离网络无法阻断物理介质数据传输和物理设备的接入。美国国家安全局就曾经设法将植入“震网”病毒的U盘，插入伊朗与互联网物理隔绝的核设施内部网，造成数千台离心机罢工，重创了伊朗核计划。捷克安全研究人员则发现，APT组织大多采用U盘摆渡方式攻击物理隔离的目标内网，并没有发现有APT组织曾经成功利用电力线、光波等方式实施过攻击。

相关研究人员指出，保护物理隔离内网，除了要禁用U盘，还需要定期修复隔离系统和软件的安全漏洞，并定期分析隔离系统中是否有任何可疑活动的迹象。

图片来源于网络

一、ESET公司报告称攻击隔离网的武器均以U盘为介质

Air gap即物理隔离，指的是封闭的计算机网络或独立的安全隔离网络，通俗来讲就是将计算机放在一个物理断网的环境中，这种状态常见于政府、军队或企业等对安全有高度需求的环境中，用于存储机密文件、知识产权等敏感数据。

斯洛伐克网络安全公司ESET日前发布题为《跨越隔离网络（Jumping the air-gap）》的报告。该报告指出，仅在2020年上半年，研究人员就发现了四种不同的用于攻击隔离（air-gapped）网络的恶意框架（即武器，编者注），而此类工具包的总数达到17个。所有的框架都被设计成执行某种形式的间谍活动，且都使用USB驱动器作为物理介质，在目标隔离网络中传输数据。超过百分之七十五的框架是利用 USB驱动器上的恶意LNK或AutoRun文件对实体隔离系统进行初步破坏，或者在实体隔离网络中横向移动。

框架包括“连接框架”和“离线框架”，二者的主要区别在于驱动器是否是武器化的。连接框架通过在连接系统中部署恶意组件来操作，该系统可监视新的USB驱动器的插入，并自动将攻击代码植入到隔离网络中，而像Brutal Kangaroo、EZCheese和 Project Sauron这样的离线框架，则是攻击者先感染自己的USB驱动器，再利用第三方将USB插入拟攻击的隔离网络设备中。

以下是该研究得出的关键发现：

（一）所有框架都旨在执行某种形式的间谍活动。

（二）所有框架都使用USB驱动器作为物理传输介质来将数据传入或者传出物理隔离网络。

（三）研究人员没有发现任何实际或怀疑使用声音或电磁信号等隐蔽物理传输介质的情况。

（四）超过75%的框架使用USB驱动器上的恶意LNK或自动运行文件在隔离网络建立第一个立足点或者进行横向移动。

（五）Windows中超过10个与LNK相关的威胁级别为“严重”的远程代码执行漏洞，在过去10年中被发现，然后被微软修补。

（六）所有框架都是为攻击Windows系统而构建的。

ESET公司《跨越隔离网络》报告

二、攻击者通过U盘攻击突破物理隔离网络的方法及成功案例

（一）“震网”病毒攻击伊朗核设施

“震网”病毒是一种首次发现于2010年的恶性蠕虫电脑病毒，其攻击的目标是工业上使用的可编程逻辑控制器（PLC）。据称，攻击的幕后指使者是美国中央情报局和以色列情报机构摩萨德，他们指使荷兰情报人员招募了一名伊朗工程师，并命令其使用U盘将恶意代码植入到伊朗纳坦兹核工厂的系统中。“震网”病毒大约感染了全球超过20万台电脑，更是摧毁了伊朗核工厂五分之一的离心机。“震网”病毒的感染途经是通过U盘传播，然后修改PLC控制软件代码，使PLC向用于分离浓缩铀的离心机发出错误的命令。2010年，在“震网”病毒的肆虐下，伊朗纳坦兹的核工厂里可用的离心机数量从4700台降低到3000多台，这充分展现了U盘自动运行攻击的巨大破坏力。

（二）美国利用COTTON-MOUTH窃取伊朗秘密数据

USB端口只要启用，就会给攻击者留下了无穷的机会。COTTON MOUTH（水腹蛇）是2009年美国国家安全局开发出来的U盘攻击工具，2014年传入公网，其内部包含了一套ARMv7芯片和无线收发装置，当它被插入目标主机后，会植入恶意程序并创建一个无线网桥，配套的设备可通过RF信号与其进行交互，实施命令及数据传输。COTTON MOUTH同样也被用于攻击伊朗的秘密机构，在长达数年的时间里从物理隔离的设备中窃取数据。

（三）Agent.btz蠕虫病毒攻击美军方中央司令部

2008年，美国军方计算机网络被一种称为Agent.btz的蠕虫病毒入侵，这种病毒来自于驻扎在阿富汗的一台笔记本电脑，通过U盘传播入侵了美国中央司令部位于中东地区的网络系统。Agent.btz扫描并盗取了美国国务院和国防部的秘密材料，然后把这些绝密信息传递给攻击者。美军随后下达禁令，不允许官兵在任何军方电脑上使用U盘或其他外置存储装置。

由于Agent.btz病毒通过U盘进行传播，这使得它在全球范围内造成了大面积感染。从卡巴斯基实验室的数据来看，2013年该实验室已在100个国家的1万多个系统中发现了Agnet.BTZ。由此，卡巴斯基实验室的专家们得出一个结论，在世界范围内可能有数万U盘被Agent.BTZ感染，这些U盘中含有名为thumb.dd的文件，文件中包含有被入侵系统的相关信息的文件。

（四）U盘被用作射频(RF)发射器

2016年，以色列本古里安大学研究人员利用U盘突破物理隔离的技术再次升级。他们展示的USBee恶意软件可将普通正常U盘用作射频(RF)发射器，在物理隔离的主机和攻击者的接收器间传递数据，进而加载漏洞利用程序和其他工具，以及从目标主机渗漏数据。接收器与目标主机之间的距离最长可接近23厘米，如果架上天线，二者之间的距离还能更加延长。攻击者必须找机会将初始恶意软件植入目标主机，且该物理隔离的目标主机还要使用U盘，USBee才可以起效。

具备从物理隔离网络中窃取数据的能力已被认为是“顶级”APT组织的标配。美国APT组织ProjectSauron能够利用定制的USB存储驱动器从物理隔离网络中窃取数据，这种USB存储驱动器可将数据存储在操作系统不可见的区域。ProjectSauron组织又名Strider、Sauron、APT-C-16、索伦之眼和神行客，最早于2011年6月被发现，并一直活跃至2016年8月。其攻击的目标包括中国、伊朗、俄罗斯、比利时、卢旺达、瑞典，涉及的行业包括军事、金融、政府、科研、电信、航空和外交等等。

当然，在实验室环境下也有其他成功的攻击方法。以色列的研究人员已经完成了几十个在物理断网环境中利用非传统方式窃取敏感数据的研究项目，比如利用电磁波隐蔽信道、利用光波隐蔽信道、利用热量隐蔽信道、利用声波隐蔽信道，以及利用硬盘状态指示灯，控制硬盘读写操作通过声波来窃取数据等等。此类技术被安全研究人员称为“隔空取物”，因为它们并没有侵入电脑，而是用防御者意想不到的方式偷走数据。不过上面列出的数据窃取方法非常复杂，传输距离也很有限，因此很难在实际网络攻击中使用。

“震网”病毒攻击伊朗核设施 图片来源：freebuf

三、对加强隔离网络安全的建议

封闭的物理隔离网络并不意味着绝对安全。虽然隔离了网络访问，但由于网络维护、数据交互等原因，无法阻断物理介质数据传输和物理设备的接入，如光盘、U盘等移动数据载体，键盘、鼠标等硬件设备，或者笔记本电脑、临时热点等未按规定接入等，这些行为都极有可能成为突破隔离网络的桥梁。

（一）卡巴斯基给出的建议

卡巴斯基安全研究人员阿列克谢·费拉蓬托夫在2020年6月的报告中针对以上问题给出了如下建议：

1、将包含隔离计算机的场所独立分区，设备之间也要保持相互间隔。

2、屏蔽房间，或将计算机放置在法拉第笼（Faraday Cage，是防止电磁场进入或逃脱的金属外壳）内。

3、自行测量计算机的磁辐射，并注意异常情况。

4、限制或禁止使用扬声器。

5、禁用所有计算机音频设备。

6、使用隔离计算机在场所内产生声音干扰。

7、限制监控摄像机的红外功能（但这会降低摄像机在黑暗环境中的有效性）；

8、禁用隔离计算机上的 USB 端口以防止感染病毒。

（二）ESET公司给出的建议

1、阻止在连接互联网的主机上访问电子邮件。

2、禁用隔离网络的USB端口。

3、在插入主机前对USB驱动器进行杀毒。

4、限制USB上的文件执行。

5、定期更新隔离网络系统。

5、监测针对隔离网络一侧主机的非法操作。

（三）我们的建议

1、封闭互联网和隔离网络USB接口。

2、拆除物理隔离计算机、打印机、扫描仪等设备的无线网卡，防止出现利用无线的离线攻击。

3、禁用自动播放。

4、做好涉密主机电磁泄露防护。

5、对供应链进行严格管理，防止攻击者对设备芯片和物理配件进行更替。在机房装修时，也要防止出现上述情况。

（参考来源：国内外网络安全网站）