MY TRIP

該項(xiàng)研究來(lái)自以色列內(nèi)蓋夫本古里安大學(xué)的網(wǎng)絡(luò)安全研究人員Mordechai Guri博士，他演示了一種新型惡意軟件—“POWERSUPPLaY”，可以從帶有電源設(shè)備的計(jì)算機(jī)中，繞過(guò)物理隔離系統(tǒng)和音頻隔離系統(tǒng)，在物理斷網(wǎng)狀態(tài)下竊取高度敏感數(shù)據(jù)。具體的方法涉及到一個(gè)可以改變CPU負(fù)載的惡意軟件，以及一部手機(jī)。通過(guò)改變CPU的負(fù)載，電源的超聲波頻率也會(huì)隨之改變，而在旁邊最遠(yuǎn)不超過(guò)5米范圍的手機(jī)則可以收到這些超聲波，從而達(dá)到傳送數(shù)據(jù)的目的。

1.方法和原理分析

這種讓電源說(shuō)話的惡意軟件，會(huì)通過(guò)啟動(dòng)和停止CPU工作負(fù)載，影響電源的開(kāi)關(guān)頻率，從理論上來(lái)看，并不難理解。大家都知道只要是變化的電流就一定會(huì)有對(duì)應(yīng)變化的電磁場(chǎng)，而惡意軟件就是將電磁變化轉(zhuǎn)為音頻，以便竊取數(shù)據(jù)。它不需要任何特殊提權(quán)。通常來(lái)說(shuō)，惡意軟件多以獲取權(quán)限為入侵基礎(chǔ)，而這種利用電源電流的惡意軟件，并不需要任何特殊的系統(tǒng)權(quán)限、訪問(wèn)硬件資源或是root權(quán)限，大大降低了惡意軟件攻擊過(guò)程中被安全軟件發(fā)現(xiàn)的可能性。其次，這種惡意軟件是專(zhuān)門(mén)針對(duì)GAP(物理隔離網(wǎng)絡(luò))環(huán)境研發(fā)的場(chǎng)景定制武器。所謂物理隔離網(wǎng)絡(luò)，是當(dāng)今已知安全性最高的網(wǎng)絡(luò)安全設(shè)備，代表著更安全的非網(wǎng)絡(luò)環(huán)境信息交換。從而讓電源中的變壓器和電容器發(fā)出聲音信號(hào)。目標(biāo)是靜默泄漏數(shù)據(jù)的惡意軟件不會(huì)播放任何引起注意的聲音。取而代之的是，它將在兩個(gè)或多個(gè)不同的頻率上播放可聽(tīng)或不可聽(tīng)的聲音，每個(gè)頻率代表一個(gè)0比特，一個(gè)1比特或一系列比特(例如00、01、10、11)，這些比特將被接收機(jī)捕獲。

圖1 攻擊原理圖

由于現(xiàn)代CPU是節(jié)能的，CPU的瞬時(shí)工作負(fù)載直接影響其功耗的動(dòng)態(tài)變化。通過(guò)調(diào)節(jié)CPU的工作負(fù)載，就可以控制其功耗，從而控制SMPS的瞬時(shí)切換頻率。通過(guò)啟動(dòng)和停止CPU工作負(fù)載，我們能夠設(shè)置SMPS，使它在指定的頻率切換，從而發(fā)出聲學(xué)信號(hào)并在其上調(diào)制二進(jìn)制數(shù)據(jù)。為了生成開(kāi)關(guān)頻率fc，我們以與fc相關(guān)的頻率控制CPU的利用率。為此，創(chuàng)建了n個(gè)工作線程，其中每個(gè)線程都綁定到一個(gè)特定的核心。為了產(chǎn)生載波，每個(gè)工作線程以頻率fc超載其核心，在其核心上重復(fù)施加連續(xù)工作負(fù)載1/2fc的時(shí)間和使其核心處于1/2fc的空閑狀態(tài)。算法1顯示了使用(nCores)個(gè)核心在(time)毫秒的持續(xù)時(shí)間內(nèi)生成聲調(diào)(freq)。一開(kāi)始我們啟動(dòng)(nCores)線程并將每個(gè)線程綁定到特定的核心。切換頻率由每個(gè)工作線程通過(guò)使用繁忙循環(huán)和屏障對(duì)象生成。我們使用繁忙等待技術(shù)使內(nèi)核過(guò)載，這會(huì)導(dǎo)致在該時(shí)間段內(nèi)充分利用內(nèi)核的效能。工作線程與屏障對(duì)象同步，允許它們完全啟動(dòng)和停止切換頻率。主線程控制工作線程的同步，根據(jù)屏障時(shí)序改變循環(huán)狀態(tài)標(biāo)志，這確保了占空比的生成在內(nèi)核之間精確定時(shí)。

表1 聲音生成算法

單純從聲音來(lái)判斷，受攻擊電源發(fā)出的聲音與風(fēng)扇噪聲無(wú)異。不同的是，風(fēng)扇是真噪音，而惡意軟件操控電源發(fā)出的聲音，卻是可以泄露主機(jī)數(shù)據(jù)的特殊聲音。這種特殊的“噪音”，一旦被聲波接收設(shè)備捕獲，稍加提取處理，就能復(fù)原成原始信息，也就是目標(biāo)電腦設(shè)備上的高敏感數(shù)據(jù)。

對(duì)抗攻擊模型由發(fā)送方和接收方組成。通常，發(fā)送器是一臺(tái)計(jì)算機(jī)，接收器是一個(gè)屬于雇員或訪客附近的移動(dòng)電話(圖2)。

圖2 攻擊模型的真實(shí)場(chǎng)景

1)感染階段：在初始階段，攻擊要求的條件是受感染的計(jì)算機(jī)必須配備內(nèi)部電源，如今幾乎每個(gè)計(jì)算機(jī)化系統(tǒng)中都存在該電源。另外，通過(guò)社會(huì)工程技術(shù)識(shí)別雇員的移動(dòng)電話。假定員工在工作場(chǎng)所攜帶手機(jī)。然后，可以通過(guò)利用設(shè)備的漏洞進(jìn)行物理接觸來(lái)感染這些設(shè)備，也可以使用電子郵件、SMS / MMS、惡意應(yīng)用程序及惡意網(wǎng)站等通過(guò)不同的攻擊媒介來(lái)感染手機(jī)。

圖3 該信息已通過(guò)從電源播放的秘密超聲波信號(hào)泄露

2)滲透階段：在滲透階段，受感染計(jì)算機(jī)中的惡意軟件會(huì)收集感興趣的敏感數(shù)據(jù)。數(shù)據(jù)可以是文件、擊鍵記錄、憑證(例如密碼)或加密密鑰。然后，惡意軟件使用計(jì)算機(jī)電源發(fā)出的聲波來(lái)調(diào)制和傳輸數(shù)據(jù)(圖3)，從頻譜圖中我們也可以看出，使用了四個(gè)不同的頻率進(jìn)行調(diào)制。附近的受感染手機(jī)會(huì)檢測(cè)傳輸情況，對(duì)數(shù)據(jù)進(jìn)行解調(diào)和解碼，然后使用移動(dòng)數(shù)據(jù)或Wi-Fi通過(guò)Internet將其傳輸給攻擊者。

2.防御措施

作為對(duì)策，研究人員建議在禁止移動(dòng)電話和其他電子設(shè)備的受限區(qū)域中對(duì)敏感系統(tǒng)進(jìn)行分區(qū)。要擁有一個(gè)入侵檢測(cè)系統(tǒng)來(lái)監(jiān)視可疑的CPU行為，并設(shè)置基于硬件的信號(hào)檢測(cè)器和干擾器，也可能有助于抵御提議的秘密通道。這里我們?cè)诘燃?jí)保護(hù)三級(jí)及以上系統(tǒng)中，要求屏蔽機(jī)柜或機(jī)房，其意義在此技術(shù)過(guò)程中就凸顯出來(lái)了。

3.總 結(jié)

在本文中，作者證明了運(yùn)行在計(jì)算機(jī)上的惡意軟件可以使用電源作為一個(gè)帶外揚(yáng)聲器。在系統(tǒng)中執(zhí)行的代碼可以有意地調(diào)節(jié)電源的內(nèi)部開(kāi)關(guān)頻率，從而控制由其電容器和變壓器產(chǎn)生的波形。這種技術(shù)允許從各種類(lèi)型的計(jì)算機(jī)和設(shè)備中產(chǎn)生聲音和超聲波音頻音調(diào)，即使音頻硬件被阻塞、禁用或不存在。電源供應(yīng)代碼可以從一個(gè)普通的用戶(hù)模式進(jìn)程中操作，并且不需要硬件訪問(wèn)或根特權(quán)。這種方法不調(diào)用特殊的系統(tǒng)調(diào)用或訪問(wèn)硬件資源，因此是高度隱蔽的。通過(guò)使用電源供應(yīng)，我們可以從無(wú)音頻的系統(tǒng)中傳輸數(shù)據(jù)到附近的手機(jī)，最大比特率為50比特/秒。

參考文獻(xiàn)

翻譯自：Guri M . POWER-SUPPLaY: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers[J].2021.