新固件攻擊可在 SSD 硬盤投放持久性惡意軟件
責編:gltian |2022-01-11 16:45:42近日,韓國研究人員針對某些固態驅動器 ( SSD ) 模擬了一系列攻擊,這些攻擊可能允許將惡意軟件植入用戶和安全解決方案都無法觸及的位置。攻擊模型針對具有靈活容量功能的驅動器,并針對設備上稱為過度配置的隱藏區域——如今 SSD 制造商廣泛使用該區域來優化基于 NAND 閃存的存儲系統性能。硬件級攻擊提供終極持久性和隱蔽性。過去,高級攻擊者一直在努力嘗試針對機械硬盤的此類攻擊方法,將惡意代碼隱藏在無法訪問的磁盤扇區中。
SSD 工作原理
彈性容量是 SSD 中的一項功能,它使存儲設備能夠自動調整原始空間和用戶分配空間的大小,通過吸收寫入工作負載量來實現更好的性能。它是一個動態系統,可以創建和調整稱為過度配置的空間緩沖區,通常占用總磁盤容量的 7% 到 25% 。當用戶啟動不同的應用程序時, SSD 管理器會根據工作負載自動調整此空間,具體取決于它們的寫入或讀取密集程度。操作系統和在其上運行的任何應用程序(包括安全解決方案和防病毒工具)都無法看到超額配置區域。
SSD 攻擊模型
首爾高麗大學研究人員模擬攻擊針對的是一個無效數據區域,該區域具有位于可用 SSD 空間和預留空間 ( OP ) 區域之間的未擦除信息,其大小取決于兩者。其研究論文解釋說,黑客可以通過使用固件管理器來更改 OP 區域的大小,從而產生可利用的無效數據空間。這里的問題是,很多 SSD 廠商為了節省資源,選擇不擦除無效數據區。在假設斷開映射表鏈接足以防止未經授權訪問的情況下,該空間會在很長一段時間內保持充滿數據。因此,利用此弱點的威脅行為者可以訪問潛在敏感信息。
研究人員指出 ,對 NAND 閃存進行數字取證可以發現過去六個月未被刪除的(無效數據區)數據。在另一種攻擊模型中,威脅參與者將 OP 區域用作用戶無法監控或擦除的秘密位置,并在其中隱藏惡意軟件。
其研究論文將這種攻擊描述為:假設兩個存儲設備 SSD1 和 SSD2 連接到一個通道。每個存儲設備都有 50% 的 OP 區域。黑客將惡意代碼存儲到 SSD2 后,立即將 SSD1 的 OP 面積縮小到 25% ,將 SSD2 的 OP 面積擴大到 75% 。此時,惡意軟件代碼包含在 SSD2 的隱藏區域中。獲得 SSD 訪問權限的黑客可以隨時通過調整 OP 區域大小來激活嵌入的惡意軟件代碼。由于普通用戶在頻道上保持 100% 的用戶區域,因此黑客的這種惡意行為并不容易被發現。
這種攻擊的明顯優勢在于它是隱蔽的。在 OP 區域檢測惡意代碼不僅耗時,而且需要高度專業化的取證技術。
防御對策
作為對第一種攻擊的防御,研究人員建議 SSD 制造商使用不會影響實時性能的偽擦除算法擦除 OP 區域。對于第二種攻擊,防止在 OP 區域注入惡意軟件的潛在有效安全措施是實施有效-無效數據速率監控系統,實時觀察 SSD 內部的比率。當無效數據比例突然顯著增加時,用戶可以得到警告并在 OP 空間選擇可驗證的數據擦除功能。
最后, SSD 管理應用程序應該具有強大的防御能力,對未經授權的訪問采取防御措施。研究人員進一步解釋說:“即使不是惡意黑客,被誤導的員工也可以隨時通過使用 OP 區域變量固件/軟件輕松釋放隱藏信息并泄漏它”。雖然研究表明 SSD 上的 OP 區域可用于存儲惡意軟件,但目前不太可能在野外發生此類攻擊。
相關論文: