新固件攻擊可在 SSD 硬盤投放持久性惡意軟件

安全牛
作為對(duì)第一種攻擊的防御,研究人員建議SSD制造商使用不會(huì)影響實(shí)時(shí)性能的偽擦除算法擦除OP區(qū)域。對(duì)于第二種攻擊,防止在OP區(qū)域注入惡意軟件的潛在有效安全措施是實(shí)施有效-無效數(shù)據(jù)速率監(jiān)控系統(tǒng),實(shí)時(shí)觀察SSD內(nèi)部的比率。當(dāng)無效數(shù)據(jù)比例突然顯著增加時(shí),用戶可以得到警告并在OP空間選擇可驗(yàn)證的數(shù)據(jù)擦除功能。

2345截圖20211028093243.png

近日,韓國研究人員針對(duì)某些固態(tài)驅(qū)動(dòng)器(SSD)模擬了一系列攻擊,這些攻擊可能允許將惡意軟件植入用戶和安全解決方案都無法觸及的位置。攻擊模型針對(duì)具有靈活容量功能的驅(qū)動(dòng)器,并針對(duì)設(shè)備上稱為過度配置的隱藏區(qū)域——如今SSD制造商廣泛使用該區(qū)域來優(yōu)化基于NAND閃存的存儲(chǔ)系統(tǒng)性能。硬件級(jí)攻擊提供終極持久性和隱蔽性。過去,高級(jí)攻擊者一直在努力嘗試針對(duì)機(jī)械硬盤的此類攻擊方法,將惡意代碼隱藏在無法訪問的磁盤扇區(qū)中。

SSD工作原理

彈性容量是SSD中的一項(xiàng)功能,它使存儲(chǔ)設(shè)備能夠自動(dòng)調(diào)整原始空間和用戶分配空間的大小,通過吸收寫入工作負(fù)載量來實(shí)現(xiàn)更好的性能。它是一個(gè)動(dòng)態(tài)系統(tǒng),可以創(chuàng)建和調(diào)整稱為過度配置的空間緩沖區(qū),通常占用總磁盤容量的7%到25%。當(dāng)用戶啟動(dòng)不同的應(yīng)用程序時(shí),SSD管理器會(huì)根據(jù)工作負(fù)載自動(dòng)調(diào)整此空間,具體取決于它們的寫入或讀取密集程度。操作系統(tǒng)和在其上運(yùn)行的任何應(yīng)用程序(包括安全解決方案和防病毒工具)都無法看到超額配置區(qū)域。

SSD攻擊模型

首爾高麗大學(xué)研究人員模擬攻擊針對(duì)的是一個(gè)無效數(shù)據(jù)區(qū)域,該區(qū)域具有位于可用SSD空間和預(yù)留空間(OP)區(qū)域之間的未擦除信息,其大小取決于兩者。其研究論文解釋說,黑客可以通過使用固件管理器來更改OP區(qū)域的大小,從而產(chǎn)生可利用的無效數(shù)據(jù)空間。這里的問題是,很多SSD廠商為了節(jié)省資源,選擇不擦除無效數(shù)據(jù)區(qū)。在假設(shè)斷開映射表鏈接足以防止未經(jīng)授權(quán)訪問的情況下,該空間會(huì)在很長一段時(shí)間內(nèi)保持充滿數(shù)據(jù)。因此,利用此弱點(diǎn)的威脅行為者可以訪問潛在敏感信息。

2345截圖20211028093243.png

研究人員指出,對(duì)NAND閃存進(jìn)行數(shù)字取證可以發(fā)現(xiàn)過去六個(gè)月未被刪除的(無效數(shù)據(jù)區(qū))數(shù)據(jù)。在另一種攻擊模型中,威脅參與者將OP區(qū)域用作用戶無法監(jiān)控或擦除的秘密位置,并在其中隱藏惡意軟件。

2345截圖20211028093243.png

其研究論文將這種攻擊描述為:假設(shè)兩個(gè)存儲(chǔ)設(shè)備SSD1和SSD2連接到一個(gè)通道。每個(gè)存儲(chǔ)設(shè)備都有50%的OP區(qū)域。黑客將惡意代碼存儲(chǔ)到SSD2后,立即將SSD1的OP面積縮小到25%,將SSD2的OP面積擴(kuò)大到75%。此時(shí),惡意軟件代碼包含在SSD2的隱藏區(qū)域中。獲得SSD訪問權(quán)限的黑客可以隨時(shí)通過調(diào)整OP區(qū)域大小來激活嵌入的惡意軟件代碼。由于普通用戶在頻道上保持100%的用戶區(qū)域,因此黑客的這種惡意行為并不容易被發(fā)現(xiàn)。

這種攻擊的明顯優(yōu)勢(shì)在于它是隱蔽的。在OP區(qū)域檢測(cè)惡意代碼不僅耗時(shí),而且需要高度專業(yè)化的取證技術(shù)。

防御對(duì)策

作為對(duì)第一種攻擊的防御,研究人員建議SSD制造商使用不會(huì)影響實(shí)時(shí)性能的偽擦除算法擦除OP區(qū)域。對(duì)于第二種攻擊,防止在OP區(qū)域注入惡意軟件的潛在有效安全措施是實(shí)施有效-無效數(shù)據(jù)速率監(jiān)控系統(tǒng),實(shí)時(shí)觀察SSD內(nèi)部的比率。當(dāng)無效數(shù)據(jù)比例突然顯著增加時(shí),用戶可以得到警告并在OP空間選擇可驗(yàn)證的數(shù)據(jù)擦除功能。

最后,SSD管理應(yīng)用程序應(yīng)該具有強(qiáng)大的防御能力,對(duì)未經(jīng)授權(quán)的訪問采取防御措施。研究人員進(jìn)一步解釋說:“即使不是惡意黑客,被誤導(dǎo)的員工也可以隨時(shí)通過使用OP區(qū)域變量固件/軟件輕松釋放隱藏信息并泄漏它”。雖然研究表明SSD上的OP區(qū)域可用于存儲(chǔ)惡意軟件,但目前不太可能在野外發(fā)生此類攻擊。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論