物理隔離內網面臨的安全威脅

1、前 言

一直以來，關於網路安全存在這樣一個理念，網際網路受制於體系、架構以及各種複雜環境因素的影響，存在太多的不安全因素，是一個不可信的環境，為此各種不同使用者極盡全力營造一個封閉的專用或私有“內網”，邏輯方式的虛擬專網 VPN、實體方式的物理隔離內網。

內網—特別是物理隔離的內網其安全體系與外網安全體系相比，可以做得更加全面和細緻，它可以採用各種技術手段和行政管理措施來進行強監管、強認證、強加密，確保其萬無一失。事實果真如此嗎?

2021 年 4 月 10 日，伊朗總統魯哈尼在伊朗核技術日線上紀念活動上下令啟動納坦茲核設施內的近 200 臺 IR-6 型離心機，開始生產濃縮鈾(IR-6型離心機生產濃縮鈾的效率是第一代 IR- 1 型的 10 倍，而就在開始生產濃縮鈾後， 伊朗納坦茲核設施的配電系統就在第二天(4 月11 日)發生故障。該次事故是以色列摩薩德是對伊朗伊朗納坦茲核設施進行的網路攻擊的結果，物理隔離的核設施內網被一舉攻下導致了該次斷電。

2、針對物理隔離內網的典型攻擊事件

網路隔離技術分為物理隔離和邏輯隔離，物理隔離就是將兩個網路物理上互不連線，物理隔離需要做兩套或者幾套網路，一般分為內、外網。

物理隔離的網路通常出現在政府機構、大型企業以及軍事部門中，它們通常儲存著保密的檔案或重要隱私及資料。攻克物理隔離網路通常被視為安全漏洞的聖盃，因為破壞或滲透物理隔離系統的難度極大。

內網隔離於外界網路,不僅是系統/企業/單位/部門最核心的部分, 同時也是黑客攻擊的最終目標。一直以來，我們都認為藉助物理層面的網路隔離，在理想情況下可以有效地阻斷傳統的基於網路路由可達的網路攻擊、確保隔離內網的環境的安全穩定，只要集中精力做好內部網路管控即可。

然而， 從 2010 年 6 月的“震網”事件開始徹底顛覆了我們的傳統認知。“震網”病毒被稱為有史以來最複雜的網路武器，讓我們大開眼界。它使用了4 個Windows 0day 漏洞，成功地被用於攻擊伊朗的封閉網路中的核設施工控裝置，讓全世界認識到了物理隔離內網並不安全。

CSI、FBI 曾經對全球曾經遭受過網路安全問題的 484 家公司進行過網路安全專項調查，調查顯示出有超過 5%的公司隔離內網遭到過外部黑客的攻擊和破壞。

近年來，最著名的幾起針對物理隔離網路的攻擊事件：

2.1 DarkHotel-Ramsay

2020 年 5 月，國外安全機構ESET發現了一款名為Ramsay 的攻擊元件，該元件具備隔離網路攻擊能力，經關聯分析，該元件為Darkhotel 組織所有，至今已存在多個迭代版本。Ramsay 元件為攜帶蠕蟲模組的打包器程式，通過 USB 移動儲存裝置進行網際網路主機與隔離網路主機之間的資訊擺渡，最終實現內網滲透、檔案竊密、惡意模組執行、 shell 執行等功能。

2.2 DarkHotel-Asruex

Asruex 是一款附帶蠕蟲感染能力的後門型別木馬，該木馬最早於 2015年因被關聯到 Darkhotel APT 組織而被公眾熟悉， Darkhotel 組織在針對中日國家特定從業人員的定向攻擊中曾使用了該木馬。 Asruex 最開始被披露時，人們關注的重點為它的 PC 主機資訊收集功能和後門執行功能， 它的檔案感染能力並沒有深入分析。直到後續趨勢科技的惡意程式碼研究人員在總結分析 Asruex 木馬時，才發現其強大的蠕蟲感染能力。通過對感染模組的深入分析，證實了 Asruex 木馬具備藉助 USB 擺渡實現人力傳播的能力。

到現在為止，我們能確定的只是 Asruex 木馬具備資訊收集、後門執行、USB 儲存裝置中檔案感染的能力。其對於隔離網路環境的攻擊只是我們的猜測，如果比對嚴格的隔離網攻擊事件的話，其缺少明顯的環境探測環節以及可能會涉及的擺渡資訊互動環節。當然該木馬的後門功能部分可以在網際網路 PC 機器上通過 C&C 端下發元件去完善這些缺失的功能，所以基於已有的分析研究我們可以初步判定Darkhotel組織的Asruex木馬具備初步的隔離網攻擊結構。

2.3 Stuxnet

如果說前面兩個攻擊事件只是初步具備隔離網攻擊能力， 那麼震網攻擊事件中的 Stuxnet 蠕蟲絕對是教科書級別的專業隔離網路攻擊武器。 Stuxnet蠕蟲於 2010 年被國內外多家安全機構披露， 雖然至今已過去十年時間，但是其放在今天依然是核彈級別的網路武器。

2010 年 6 月， 美方所發起的該起攻擊事件是一起出于軍事打擊的摧毀核建設設施的攻擊活動。震網活動經過長期規劃準備和入侵潛伏作業，藉助高度複雜的惡意程式碼和多個零日漏洞作為攻擊武器，以鈾離心機為攻擊目標，以造成超壓導致離心機批量損壞和改變離心機轉數導致鈾無法滿足武器要求為致效機理，最終阻斷了軍事敵對國伊朗的核武器研發建設。這也是首起被披露的藉助網路武器實施隔離網路工控裝置攻擊而且攻擊成功的事件。

2.4 Cycldek-USBCulprit

USBCulprit 木馬由卡巴斯基惡意程式碼分析團隊在 2020 年 6 月份披露，該木馬為 Cycldek APT 組織所有，並且在 2018 年的定向攻擊事件中投入使用。準確來講， 該木馬是一個藉助 USB 移動儲存裝置進行不同 PC 機器之間資料互動的功能元件(動態連結庫 DLL),通過對其進行功能分析能夠確認該木馬具備隔離網路資料互動、資訊收集的能力。

USBCulprit 木馬採用無檔案攻擊技術啟用， 由一個免殺能力較好的載入器模組載入指定目錄下的加密二進位制檔案，然後記憶體解密裝載執行。

3、物理隔離內網面臨的安全威脅

物理隔離內網不可能不與外界互動資料， 因此隔離網路系統的建設註定要犧牲網路資料交換的便捷性。為了解決實際生產環境中的資料交換需求，經常會出現一些“不得已”的操作， 譬如搭建內網跳板機對映共享目錄、使用可移動儲存裝置進行資料擺渡等，這些操作相當於間接打通了一條與外網通訊的隧道，從而破壞其物理隔離的完整性。除此之外，物理隔離環境會導致隔離內網環境的安全更新(漏洞補丁、病毒庫等)滯後。

從前面幾起典型的攻擊事件可見， 藉助移動儲存裝置擺渡實現對隔離網路的攻擊是主流的攻擊手段，也是具有挑戰性的任務。站在攻擊方角度，攻擊載荷的設計需要考慮眾多問題： 如何應對未知的隔離網環境?如何防止攻擊元件的擴散(可移動儲存裝置並非完全用於隔離網路)?如何準確地進行 USB 擺渡資訊互動(如果需要互動的話) ?如何降低被發現的風險並且提升攻擊成功率? …所以， 在實際攻擊中， 針對隔離網路的定向攻擊活動的幕後團伙往往是實力強大的國家級網軍隊伍。

對隔離網路的攻擊除採用 USB 等可儲存裝置擺渡進入隔離網路外，目前還存在諸多特別手段，比較典型的：

3.1 U 盤用作射頻發射器開展攻擊

2016 年，本古裡安大學研究人員利用 U 盤突破物理隔離的技術再次升級。他們展示的 USBee 惡意軟體可將普通正常 U 盤用作射頻(RF)發射器，在物理隔離的主機和攻擊者的接收器間傳遞資料，進而載入漏洞利用程式和其他工具，以及從目標主機滲漏資料。接收器與目標主機之間的距離最長可達 9 英寸，如果架上天線，二者之間的距離還能更延長。攻擊者找機會將初始惡意軟體植入目標主機， 且該物理隔離的目標主機使用 U 盤，USBee 即可起效。

3.2 CPU 電磁訊號攻擊

佐治亞理工學院的研究人員花了 5 年多的時間研究如何利用 CPU洩露的電磁訊號建立隱祕通道突破物理隔離。 2013 年他們就演示了該電磁通道用於拾取同一房間內物理隔離主機擊鍵資訊的方法。最近，他們一直在評估通過 CPU 指令處理所產生的電磁訊號到底能滲漏多少資訊， 並提供衡量邊通道能力的方法，以便軟硬體設計者能有個標準來評估未來應對此類攻擊的反制措施的有效性。

3.3 法拉第籠的電磁通道攻擊

安全人員對電磁通道威脅的響應可能是將高度敏感的物理隔離系統置入法拉第籠中。但法拉第籠的電磁遮蔽並非總是有效。本古裡安大學最近的研究表明，法拉第籠也擋不住目標主機和移動裝置接收電磁傳輸訊號。只要目標主機感染了他們的惡意軟體即可， 研究人員調節 CPU 負載的方式讓他們能夠產生更強的磁漏，從而突破法拉第籠的防禦。

3.4 LED 狀態指示燈攻擊

關鍵系統物理隔離， 但通常仍處在 IP 攝像頭監視之下。這種操作並不少見。然而，本以為是雙保險的做法， 卻可能為攻擊者提供了完美的離線主機資訊滲漏渠道。

去年，數支安全團隊演示了利用 LED 狀態指示燈從未聯網系統中傳輸資訊到 IP 攝像頭的方法。首先，上面提到過的本古裡安大學那支專門研究邊通道的團隊， 他們的 LED-it-GO 研究證明，可通過硬碟 LED 指示燈滲漏資料。然後，中國科技大學的研究人員更進一步，寫出了能調整鍵盤燈閃爍的軟體，能夠以人眼察覺不到但 IP 攝像頭能捕獲到的調製方式洩露資料。兩種攻擊方法都是隻要先黑進監視攝像頭，且在目標系統植入惡意軟體，即可成功竊取完全隔離環境下計算機的資訊。

3.5 紅外遙控攻擊

今年早些時候， 中國科技大學的研究團隊將利用 LED滲透提升到了全新的高度。他們打造了名為IREXF 的隱祕通道，給物理隔離的目標主機增加了傳送紅外遙感訊號的功能，且滲漏途徑不僅僅是 IP 攝像頭，很多 IoT裝置都可以。

代替惡意軟體成為物理隔離主機上進行滲漏的是經供應鏈攻擊，通過目標主機帶入的小小硬體模組，建立隱祕通道，利用如今很多 IoT 裝置都具備的紅外遙控功能來傳輸資料，從而竊取完全隔離環境下的計算機資訊。

3.6 電廣播和移動裝置攻擊

你知道自己每次敲擊鍵盤的時候你的顯示卡都在往外發出 FM 無線電訊號嗎?本古裡安大學的研究人員利用這一系統怪癖開發出了AirHopper 技術。2014 年的演示中， 他們利用手機中的 FM 接收器捕獲到了物理隔離主機上 使用者每次擊鍵時顯示卡散發出的 FM 無線電訊號。最終，該方法演變成了無 線鍵盤記錄器，能夠盜取隔離系統上錄入資訊的那種。

3.7 通過電源線竊取計算機資料

如果你想做到自己的電腦真正安全，請務必斷開電源線。來自以色列內蓋夫本古裡安大學的莫迪凱·古裡(Mordechai Guri)及其旁路攻擊研究團隊研究人員寫了一篇題為《PowerHammer：通過電源線從物理隔離的計算機中洩露資料》的論文，所謂物理隔離是指一種將電腦進行完全隔離(不與網際網路以及任何其他聯網裝置連線)以保護資料安全的機制。

論文中介紹，這種被稱為“PowerHammer”的技術是通過在物理隔離計算機上安裝特定的惡意軟體，利用電腦 CPU產生類似莫爾斯電碼的訊號，再通過電源線將資料轉化為二進位制程式碼進行傳輸。

研究人員介紹稱， 根據攻擊者採取的具體方法不同，資料可能以每秒10位元到 1000 位元的速度洩漏出去。如果攻擊者能夠直接連線計算機電源的電纜，那麼洩露資料的速度就會更快。這種攻擊方式被稱為“line-levelpowerhammering”。如果攻擊者只能訪問建築物的電力服務配電板，那麼洩露資料的速度就會變得比較慢 ，這種攻擊方式被稱為 “ phase-levelpowerhammering”。

其中，“Line-level PowerHammering”攻擊適用於安裝英特爾 Haswell 晶片的電腦和安裝英特爾 XeonE5-2620 晶片的電腦，前者的資料讀取速度可以達到 1000bps;後者的資料讀取速度可以達到 100bps，零錯誤率。而“Phase-level powerhammering”攻擊的表現就要差得多了，由於受到其他裝置的電訊號干擾，資料讀取零錯誤率的速度只有 3bps，如果速度上升至10bps，錯誤率則將達到了 4.2%。

3.8 揚聲器和耳機隱祕傳輸資料

計算機揚聲器和頭戴式耳機可以充當祕密小話筒，通過超聲波接收資料併發回訊號，讓物理隔離的敏感計算機系統沒有看上去那麼安全。

2018 年 3 月 9 號， 以色列本古裡安大學的研究人員在 ArXiv 上發表了一篇學術論文，描述了採用聽不見的超聲波進行資料傳輸與接收的創新資料滲漏技術，可以在同一房間中沒有麥克風的兩臺電腦之間收發資料。

論文題為《MOSQUITO：利用揚聲器間通訊在物理隔離計算機之間進行隱祕超聲傳輸》， 撰寫此文的研發團隊專精邊通道攻擊技術， 曾開發出一系列物理隔離主機間的資料傳輸方法。

比如：ODINI--利用電場在法拉第靜電遮蔽的計算機之間傳送資料的技術; MAGNETO--用電場在物理隔離的計算機與智慧手機之間傳送資料的技術;以及 FANSMITTER--利用風扇在物理隔離計算機之間傳送音訊資料的方法。

此類隱祕資料傳輸方法都是在 NSA 的 TEMPEST 攻擊基礎上發展而來的。TEMPEST 攻擊利用電子裝置散發的電磁輻射、磁場、聲音、光線和熱量來收集並傳送資料。

MOSQUITO 證明了可以利用揚聲器在相隔 9 米的未連線計算機之間隱祕傳輸資料。而且，運用該方法，無麥克風的頭戴式耳機也同樣可以充當資料滲漏工具。研究人員稱，這是世界首例耳機間隱祕通訊方法。

論文中解釋道， 揚聲器可以被視為反向工作的麥克風： 揚聲器把電訊號轉換為聲訊號，而麥克風則是將聲訊號轉換為電訊號。之所以能逆向該聲電轉換過程，就在於二者均使用了膜片來輔助此轉換。

利用 18 千赫到 24 千赫範圍內的音訊， 研究人員能夠以 166 位元/秒的速率在 3 米距離上傳輸 1KB 二進位制檔案，傳輸錯誤率為 1%。在 4 到 9 米距離上想要達到同樣低的錯誤率， 傳輸速度就要降到 10 位元/秒， 這很大程度上是由於環境噪音的干擾。

3.9 利用乙太網電纜從隔離計算機中竊取資料

以色列內蓋夫本古裡安大學的研究人員發現了一種被稱為 LANtenna 的新型電磁攻擊方法，該攻擊使用乙太網電纜作為傳輸天線從隔離網路的計算機中竊取敏感資料。

該大學網路安全研究中心的研發主管 Mordechai Guri 表示， “惡意程式碼可在物理隔離網路的計算機中收集敏感資料， 並將乙太網電纜作為天線，通過乙太網電纜發出進行過編碼的無線電波。附近的接收裝置可以無線攔截訊號， 解碼資料，並將其傳送給攻擊者。

通常， 隔離網路由於其基礎設施是物理隔離的， 因此會比傳統網路更加安全， 很多大型工業公司(如電力、石油和天然氣公司)、 以及政府機構與軍隊都使用物理隔離網路。

Guri 表示， LANtenna 允許攻擊者乙太網電纜發射 125 MHz 頻段的電磁波，將敏感資料從隔離的網路洩漏到幾米外的位置。

4、物理隔離內網安全建議

構建了隔離內網安全防護體系並不意味著就安全了， 根據 Ramsay 等惡意軟體針對隔離網路環境的攻擊，其目的是進行各種網路竊密活動，攻擊者將收集到的情報直接寫入移動儲存介質的特定扇區， 並不在該儲存介質上建立容易檢視的檔案，可見攻擊與收集行為極具隱蔽性，威脅性很大。針對隔離網路攻擊的特點與流程大致如下：

(1)通過魚叉釣魚、水坑、供應鏈攻擊等方式，初始攻擊某臺暴露在公網的主機。(2)橫向滲透到某臺做為中轉的機器(該機器有在公網和隔離網路間擺渡檔案等功能)上， 下發感染檔案(包括文件檔案、可執行檔案等)、收集資訊等惡意外掛模組。(3)在中轉機器上監視可移動磁碟並感染可移動磁碟上的檔案。(4)可移動磁碟進入隔離網路。隔離網內的機器若執行被感染的檔案，則收集該機器上的相關資訊，並寫入可移動磁碟的磁碟扇區或檔案的文件檔案的尾部。(5)可移動磁碟再次插入中轉機器上時，中轉機器上的其他的惡意外掛，對可移動磁碟特定扇區儲存的機密資訊進行收集，再回傳到攻擊者控制的伺服器中。(6)此外，攻擊者還會下發做為控制功能的檔案， 把相關的指令和操作命令寫在控制檔案中，然後通過可移動裝置擺渡到隔離網路中，再來解析執行。

為此，建議特別關注以下安全措施加強防禦， 防止黑客入侵：

(1)通過官方渠道或者正規的軟體分發渠道下載相關軟體，隔離網路安裝使用的軟體及文件須確保其來源可靠。(2)嚴禁連線公用網路。若必須連線公用網路，建議不要進行可能洩露 機密資訊或隱私資訊的操作，如收發郵件、即時(IM)通訊甚至常用軟體 的升級操作。(3)可能連線隔離網路的系統，切勿輕易開啟不明來源的郵件附件。(4)需要在隔離網路環境使用的移動儲存裝置，需要特別注意安全檢查， 避免惡意程式通過插入移動介質傳播。(5)漏洞掃描及修復系統必須十分可靠，及時安裝系統補丁和重要軟體的補丁。(6)防毒軟體要及時升級，防禦病毒木馬攻擊。(7)在隔離網路中的計算機操作人員仍然需要提高安全意識，注意到封閉的隔離網路並不意味著絕對安全。