新固件攻擊可在 SSD 硬盤投放持久性惡意軟件

安全牛
作為對(duì)第一種攻擊的防御,研究人員建議SSD制造商使用不會(huì)影響實(shí)時(shí)性能的偽擦除算法擦除OP區(qū)域。對(duì)于第二種攻擊,防止在OP區(qū)域注入惡意軟件的潛在有效安全措施是實(shí)施有效-無(wú)效數(shù)據(jù)速率監(jiān)控系統(tǒng),實(shí)時(shí)觀察SSD內(nèi)部的比率。當(dāng)無(wú)效數(shù)據(jù)比例突然顯著增加時(shí),用戶可以得到警告并在OP空間選擇可驗(yàn)證的數(shù)據(jù)擦除功能。

2345截圖20211028093243.png

近日,韓國(guó)研究人員針對(duì)某些固態(tài)驅(qū)動(dòng)器(SSD)模擬了一系列攻擊,這些攻擊可能允許將惡意軟件植入用戶和安全解決方案都無(wú)法觸及的位置。攻擊模型針對(duì)具有靈活容量功能的驅(qū)動(dòng)器,并針對(duì)設(shè)備上稱為過度配置的隱藏區(qū)域——如今SSD制造商廣泛使用該區(qū)域來(lái)優(yōu)化基于NAND閃存的存儲(chǔ)系統(tǒng)性能。硬件級(jí)攻擊提供終極持久性和隱蔽性。過去,高級(jí)攻擊者一直在努力嘗試針對(duì)機(jī)械硬盤的此類攻擊方法,將惡意代碼隱藏在無(wú)法訪問的磁盤扇區(qū)中。

SSD工作原理

彈性容量是SSD中的一項(xiàng)功能,它使存儲(chǔ)設(shè)備能夠自動(dòng)調(diào)整原始空間和用戶分配空間的大小,通過吸收寫入工作負(fù)載量來(lái)實(shí)現(xiàn)更好的性能。它是一個(gè)動(dòng)態(tài)系統(tǒng),可以創(chuàng)建和調(diào)整稱為過度配置的空間緩沖區(qū),通常占用總磁盤容量的7%到25%。當(dāng)用戶啟動(dòng)不同的應(yīng)用程序時(shí),SSD管理器會(huì)根據(jù)工作負(fù)載自動(dòng)調(diào)整此空間,具體取決于它們的寫入或讀取密集程度。操作系統(tǒng)和在其上運(yùn)行的任何應(yīng)用程序(包括安全解決方案和防病毒工具)都無(wú)法看到超額配置區(qū)域。

SSD攻擊模型

首爾高麗大學(xué)研究人員模擬攻擊針對(duì)的是一個(gè)無(wú)效數(shù)據(jù)區(qū)域,該區(qū)域具有位于可用SSD空間和預(yù)留空間(OP)區(qū)域之間的未擦除信息,其大小取決于兩者。其研究論文解釋說,黑客可以通過使用固件管理器來(lái)更改OP區(qū)域的大小,從而產(chǎn)生可利用的無(wú)效數(shù)據(jù)空間。這里的問題是,很多SSD廠商為了節(jié)省資源,選擇不擦除無(wú)效數(shù)據(jù)區(qū)。在假設(shè)斷開映射表鏈接足以防止未經(jīng)授權(quán)訪問的情況下,該空間會(huì)在很長(zhǎng)一段時(shí)間內(nèi)保持充滿數(shù)據(jù)。因此,利用此弱點(diǎn)的威脅行為者可以訪問潛在敏感信息。

2345截圖20211028093243.png

研究人員指出,對(duì)NAND閃存進(jìn)行數(shù)字取證可以發(fā)現(xiàn)過去六個(gè)月未被刪除的(無(wú)效數(shù)據(jù)區(qū))數(shù)據(jù)。在另一種攻擊模型中,威脅參與者將OP區(qū)域用作用戶無(wú)法監(jiān)控或擦除的秘密位置,并在其中隱藏惡意軟件。

2345截圖20211028093243.png

其研究論文將這種攻擊描述為:假設(shè)兩個(gè)存儲(chǔ)設(shè)備SSD1和SSD2連接到一個(gè)通道。每個(gè)存儲(chǔ)設(shè)備都有50%的OP區(qū)域。黑客將惡意代碼存儲(chǔ)到SSD2后,立即將SSD1的OP面積縮小到25%,將SSD2的OP面積擴(kuò)大到75%。此時(shí),惡意軟件代碼包含在SSD2的隱藏區(qū)域中。獲得SSD訪問權(quán)限的黑客可以隨時(shí)通過調(diào)整OP區(qū)域大小來(lái)激活嵌入的惡意軟件代碼。由于普通用戶在頻道上保持100%的用戶區(qū)域,因此黑客的這種惡意行為并不容易被發(fā)現(xiàn)。

這種攻擊的明顯優(yōu)勢(shì)在于它是隱蔽的。在OP區(qū)域檢測(cè)惡意代碼不僅耗時(shí),而且需要高度專業(yè)化的取證技術(shù)。

防御對(duì)策

作為對(duì)第一種攻擊的防御,研究人員建議SSD制造商使用不會(huì)影響實(shí)時(shí)性能的偽擦除算法擦除OP區(qū)域。對(duì)于第二種攻擊,防止在OP區(qū)域注入惡意軟件的潛在有效安全措施是實(shí)施有效-無(wú)效數(shù)據(jù)速率監(jiān)控系統(tǒng),實(shí)時(shí)觀察SSD內(nèi)部的比率。當(dāng)無(wú)效數(shù)據(jù)比例突然顯著增加時(shí),用戶可以得到警告并在OP空間選擇可驗(yàn)證的數(shù)據(jù)擦除功能。

最后,SSD管理應(yīng)用程序應(yīng)該具有強(qiáng)大的防御能力,對(duì)未經(jīng)授權(quán)的訪問采取防御措施。研究人員進(jìn)一步解釋說:“即使不是惡意黑客,被誤導(dǎo)的員工也可以隨時(shí)通過使用OP區(qū)域變量固件/軟件輕松釋放隱藏信息并泄漏它”。雖然研究表明SSD上的OP區(qū)域可用于存儲(chǔ)惡意軟件,但目前不太可能在野外發(fā)生此類攻擊。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門