兩位以色列的安全研究人員，Yaniv Balmas 和 Lior Oppenheim 開(kāi)發(fā)了一種可以繞過(guò)物理隔離系統(tǒng)的惡意軟件，它可以悄悄感染、侵占，并駐扎在物理隔絕或網(wǎng)絡(luò)隔絕的設(shè)備上。

[[162050]]

Yaniv Balmas

他在上個(gè)月于德國(guó)漢堡舉行的混沌通訊大會(huì)上演示了這種攻擊。通過(guò)撬開(kāi)并接觸KVM設(shè)備的組件，下載惡意軟件，最后入侵與之相連的計(jì)算機(jī)。因?yàn)?KVM 被用于同時(shí)操控多臺(tái)設(shè)備。受感染的單元通常不會(huì)被管理員第一時(shí)間懷疑，并有可能入侵所有與之連接的計(jì)算機(jī)，使用它們連接到互聯(lián)網(wǎng)保持更新并傳輸竊取到的數(shù)據(jù)。

KVM 能夠使用連接到互聯(lián)網(wǎng)的設(shè)備下載惡意軟件，然后將其傳遞給設(shè)備的內(nèi)存。

之后，它可以傳播給物理隔離的系統(tǒng)，并感染更敏感的設(shè)備。

Balmas 在他名為《如何讓你的 KVM 變成厲害的密鑰登陸怪獸》的演講中說(shuō)：“這個(gè) KVM 可以在深夜被喚醒，并開(kāi)始鍵入用戶密碼。”

“KVM 鍵入密碼，并執(zhí)行 wget 命令，通過(guò)連接到互聯(lián)網(wǎng)的計(jì)算機(jī)從云端下載惡意軟件。”

它的存留性非常強(qiáng)，因?yàn)槟銕缀鯖](méi)有防止它的措施：你可以重新格式化硬盤，關(guān)掉電腦，但只要 KVM 還在，每個(gè)晚上你都會(huì)重新受到感染。

攻擊流

攻擊者有些時(shí)候需要物理連接到 KVM ，這讓該方式只能適用于有針對(duì)性的攻擊。

Balmas 表示可以通過(guò)多種社會(huì)工程學(xué)手段實(shí)現(xiàn)就這一點(diǎn)，比如從更高層級(jí)的供應(yīng)商下手，先感染目標(biāo)會(huì)訂購(gòu)的設(shè)備。

然而 KVM 是隨著 IP 地址進(jìn)行更新的，這給直接遠(yuǎn)程入侵打開(kāi)了道路，也顯著增加了入侵物理隔離設(shè)備的影響力。

“由于它們使用 IP 地址進(jìn)行更新，從理論上講我們可以遠(yuǎn)程發(fā)起入侵。”

Balmas 列出了基于 IP 的 KVM 的五個(gè)已知漏洞，以說(shuō)明遠(yuǎn)程入侵的可行性。

對(duì)管理員而言，處理這種攻擊的最佳方式是深入理解 IT 環(huán)境中使用的硬件，以及將物理隔離設(shè)備連接到有網(wǎng)絡(luò)計(jì)算機(jī)的必要性。

安全 KVM 可以防止這種攻擊，但它們成本過(guò)高，很少有人使用。