一、前言

一直以來，關(guān)于網(wǎng)絡(luò)安全存在這樣一個(gè)理念，互聯(lián)網(wǎng)受制于體系、架構(gòu)以及各種復(fù)雜環(huán)境因素的影響，存在太多的不安全因素，是一個(gè)不可信的環(huán)境，為此各種不同用戶極盡全力營造一個(gè)封閉的專用或私有“內(nèi)網(wǎng)”，邏輯方式的虛擬專網(wǎng) VPN、實(shí)體方式的物理隔離內(nèi)網(wǎng)。

內(nèi)網(wǎng)—特別是物理隔離的內(nèi)網(wǎng)其安全體系與外網(wǎng)安全體系相比，可以做得更加全面和細(xì)致，它可以采用各種技術(shù)手段和行政管理措施來進(jìn)行強(qiáng)監(jiān)管、強(qiáng)認(rèn)證、強(qiáng)加密，確保其萬無一失。事實(shí)果真如此嗎?

2021 年 4 月 10 日，伊朗總統(tǒng)魯哈尼在伊朗核技術(shù)日線上紀(jì)念活動上下令啟動納坦茲核設(shè)施內(nèi)的近 200 臺 IR-6 型離心機(jī)，開始生產(chǎn)濃縮鈾(IR-6型離心機(jī)生產(chǎn)濃縮鈾的效率是第一代 IR- 1 型的 10 倍，而就在開始生產(chǎn)濃縮鈾后， 伊朗納坦茲核設(shè)施的配電系統(tǒng)就在第二天(4 月11 日)發(fā)生故障。該次事故是以色列摩薩德是對伊朗伊朗納坦茲核設(shè)施進(jìn)行的網(wǎng)絡(luò)攻擊的結(jié)果，物理隔離的核設(shè)施內(nèi)網(wǎng)被一舉攻下導(dǎo)致了該次斷電。

二、針對物理隔離內(nèi)網(wǎng)的典型攻擊事件

網(wǎng)絡(luò)隔離技術(shù)分為物理隔離和邏輯隔離，物理隔離就是將兩個(gè)網(wǎng)絡(luò)物理上互不連接，物理隔離需要做兩套或者幾套網(wǎng)絡(luò)，一般分為內(nèi)、外網(wǎng)。

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機(jī)構(gòu)、大型企業(yè)以及軍事部門中，它們通常存儲著保密的文件或重要隱私及數(shù)據(jù)。攻克物理隔離網(wǎng)絡(luò)通常被視為安全漏洞的圣杯，因?yàn)槠茐幕驖B透物理隔離系統(tǒng)的難度極大。

內(nèi)網(wǎng)隔離于外界網(wǎng)絡(luò),不僅是系統(tǒng)/企業(yè)/單位/部門最核心的部分, 同時(shí)也是黑客攻擊的最終目標(biāo)。一直以來，我們都認(rèn)為借助物理層面的網(wǎng)絡(luò)隔離，在理想情況下可以有效地阻斷傳統(tǒng)的基于網(wǎng)絡(luò)路由可達(dá)的網(wǎng)絡(luò)攻擊、確保隔離內(nèi)網(wǎng)的環(huán)境的安全穩(wěn)定，只要集中精力做好內(nèi)部網(wǎng)絡(luò)管控即可。

然而， 從 2010 年 6 月的“震網(wǎng)”事件開始徹底顛覆了我們的傳統(tǒng)認(rèn)知?！罢鹁W(wǎng)”病毒被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，讓我們大開眼界。它使用了4 個(gè)Windows 0day 漏洞，成功地被用于攻擊伊朗的封閉網(wǎng)絡(luò)中的核設(shè)施工控設(shè)備，讓全世界認(rèn)識到了物理隔離內(nèi)網(wǎng)并不安全。

CSI、FBI 曾經(jīng)對全球曾經(jīng)遭受過網(wǎng)絡(luò)安全問題的 484 家公司進(jìn)行過網(wǎng)絡(luò)安全專項(xiàng)調(diào)查，調(diào)查顯示出有超過 5%的公司隔離內(nèi)網(wǎng)遭到過外部黑客的攻擊和破壞。

近年來，最著名的幾起針對物理隔離網(wǎng)絡(luò)的攻擊事件：

1. DarkHotel-Ramsay

2020 年 5 月，國外安全機(jī)構(gòu)ESET發(fā)現(xiàn)了一款名為Ramsay 的攻擊組件，該組件具備隔離網(wǎng)絡(luò)攻擊能力，經(jīng)關(guān)聯(lián)分析，該組件為Darkhotel 組織所有，至今已存在多個(gè)迭代版本。Ramsay 組件為攜帶蠕蟲模塊的打包器程序，通過 USB 移動存儲設(shè)備進(jìn)行互聯(lián)網(wǎng)主機(jī)與隔離網(wǎng)絡(luò)主機(jī)之間的信息擺渡，最終實(shí)現(xiàn)內(nèi)網(wǎng)滲透、文件竊密、惡意模塊執(zhí)行、 shell 執(zhí)行等功能。

2. DarkHotel-Asruex

Asruex 是一款附帶蠕蟲感染能力的后門類型木馬，該木馬最早于 2015年因被關(guān)聯(lián)到 Darkhotel APT 組織而被公眾熟悉， Darkhotel 組織在針對中日國家特定從業(yè)人員的定向攻擊中曾使用了該木馬。 Asruex 最開始被披露時(shí)，人們關(guān)注的重點(diǎn)為它的 PC 主機(jī)信息收集功能和后門執(zhí)行功能， 它的文件感染能力并沒有深入分析。直到后續(xù)趨勢科技的惡意代碼研究人員在總結(jié)分析 Asruex 木馬時(shí)，才發(fā)現(xiàn)其強(qiáng)大的蠕蟲感染能力。通過對感染模塊的深入分析，證實(shí)了 Asruex 木馬具備借助 USB 擺渡實(shí)現(xiàn)人力傳播的能力。

到現(xiàn)在為止，我們能確定的只是 Asruex 木馬具備信息收集、后門執(zhí)行、USB 存儲設(shè)備中文件感染的能力。其對于隔離網(wǎng)絡(luò)環(huán)境的攻擊只是我們的猜測，如果比對嚴(yán)格的隔離網(wǎng)攻擊事件的話，其缺少明顯的環(huán)境探測環(huán)節(jié)以及可能會涉及的擺渡信息交互環(huán)節(jié)。當(dāng)然該木馬的后門功能部分可以在互聯(lián)網(wǎng) PC 機(jī)器上通過 C&C 端下發(fā)組件去完善這些缺失的功能，所以基于已有的分析研究我們可以初步判定Darkhotel組織的Asruex木馬具備初步的隔離網(wǎng)攻擊結(jié)構(gòu)。

3. Stuxnet

如果說前面兩個(gè)攻擊事件只是初步具備隔離網(wǎng)攻擊能力， 那么震網(wǎng)攻擊事件中的 Stuxnet 蠕蟲絕對是教科書級別的專業(yè)隔離網(wǎng)絡(luò)攻擊武器。 Stuxnet蠕蟲于 2010 年被國內(nèi)外多家安全機(jī)構(gòu)披露， 雖然至今已過去十年時(shí)間，但是其放在今天依然是核彈級別的網(wǎng)絡(luò)武器。

2010 年 6 月， 美方所發(fā)起的該起攻擊事件是一起出于軍事打擊的摧毀核建設(shè)設(shè)施的攻擊活動。震網(wǎng)活動經(jīng)過長期規(guī)劃準(zhǔn)備和入侵潛伏作業(yè)，借助高度復(fù)雜的惡意代碼和多個(gè)零日漏洞作為攻擊武器，以鈾離心機(jī)為攻擊目標(biāo)，以造成超壓導(dǎo)致離心機(jī)批量損壞和改變離心機(jī)轉(zhuǎn)數(shù)導(dǎo)致鈾無法滿足武器要求為致效機(jī)理，最終阻斷了軍事敵對國伊朗的核武器研發(fā)建設(shè)。這也是首起被披露的借助網(wǎng)絡(luò)武器實(shí)施隔離網(wǎng)絡(luò)工控設(shè)備攻擊而且攻擊成功的事件。

4. Cycldek-USBCulprit

USBCulprit 木馬由卡巴斯基惡意代碼分析團(tuán)隊(duì)在 2020 年 6 月份披露，該木馬為 Cycldek APT 組織所有，并且在 2018 年的定向攻擊事件中投入使用。準(zhǔn)確來講， 該木馬是一個(gè)借助 USB 移動存儲設(shè)備進(jìn)行不同 PC 機(jī)器之間數(shù)據(jù)交互的功能組件(動態(tài)鏈接庫 DLL),通過對其進(jìn)行功能分析能夠確認(rèn)該木馬具備隔離網(wǎng)絡(luò)數(shù)據(jù)交互、信息收集的能力。

USBCulprit 木馬采用無文件攻擊技術(shù)啟用， 由一個(gè)免殺能力較好的加載器模塊加載指定目錄下的加密二進(jìn)制文件，然后內(nèi)存解密裝載執(zhí)行。

三、物理隔離內(nèi)網(wǎng)面臨的安全威脅

物理隔離內(nèi)網(wǎng)不可能不與外界交互數(shù)據(jù)， 因此隔離網(wǎng)絡(luò)系統(tǒng)的建設(shè)注定要犧牲網(wǎng)絡(luò)數(shù)據(jù)交換的便捷性。為了解決實(shí)際生產(chǎn)環(huán)境中的數(shù)據(jù)交換需求，經(jīng)常會出現(xiàn)一些“不得已”的操作， 譬如搭建內(nèi)網(wǎng)跳板機(jī)映射共享目錄、使用可移動存儲設(shè)備進(jìn)行數(shù)據(jù)擺渡等，這些操作相當(dāng)于間接打通了一條與外網(wǎng)通信的隧道，從而破壞其物理隔離的完整性。除此之外，物理隔離環(huán)境會導(dǎo)致隔離內(nèi)網(wǎng)環(huán)境的安全更新(漏洞補(bǔ)丁、病毒庫等)滯后。

從前面幾起典型的攻擊事件可見， 借助移動存儲設(shè)備擺渡實(shí)現(xiàn)對隔離網(wǎng)絡(luò)的攻擊是主流的攻擊手段，也是具有挑戰(zhàn)性的任務(wù)。站在攻擊方角度，攻擊載荷的設(shè)計(jì)需要考慮眾多問題： 如何應(yīng)對未知的隔離網(wǎng)環(huán)境?如何防止攻擊組件的擴(kuò)散(可移動存儲設(shè)備并非完全用于隔離網(wǎng)絡(luò))?如何準(zhǔn)確地進(jìn)行 USB 擺渡信息交互(如果需要交互的話) ?如何降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)并且提升攻擊成功率? …所以， 在實(shí)際攻擊中， 針對隔離網(wǎng)絡(luò)的定向攻擊活動的幕后團(tuán)伙往往是實(shí)力強(qiáng)大的國家級網(wǎng)軍隊(duì)伍。

對隔離網(wǎng)絡(luò)的攻擊除采用 USB 等可存儲設(shè)備擺渡進(jìn)入隔離網(wǎng)絡(luò)外，目前還存在諸多特別手段，比較典型的：

1. U 盤用作射頻發(fā)射器開展攻擊

2016 年，本古里安大學(xué)研究人員利用 U 盤突破物理隔離的技術(shù)再次升級。他們展示的 USBee 惡意軟件可將普通正常 U 盤用作射頻(RF)發(fā)射器，在物理隔離的主機(jī)和攻擊者的接收器間傳遞數(shù)據(jù)，進(jìn)而加載漏洞利用程序和其他工具，以及從目標(biāo)主機(jī)滲漏數(shù)據(jù)。接收器與目標(biāo)主機(jī)之間的距離最長可達(dá) 9 英寸，如果架上天線，二者之間的距離還能更延長。攻擊者找機(jī)會將初始惡意軟件植入目標(biāo)主機(jī)， 且該物理隔離的目標(biāo)主機(jī)使用 U 盤，USBee 即可起效。

2. CPU 電磁信號攻擊

佐治亞理工學(xué)院的研究人員花了 5 年多的時(shí)間研究如何利用 CPU泄露的電磁信號建立隱秘信道突破物理隔離。 2013 年他們就演示了該電磁信道用于拾取同一房間內(nèi)物理隔離主機(jī)擊鍵信息的方法。最近，他們一直在評估通過 CPU 指令處理所產(chǎn)生的電磁信號到底能滲漏多少信息， 并提供衡量邊信道能力的方法，以便軟硬件設(shè)計(jì)者能有個(gè)標(biāo)準(zhǔn)來評估未來應(yīng)對此類攻擊的反制措施的有效性。

3. 法拉第籠的電磁信道攻擊

安全人員對電磁信道威脅的響應(yīng)可能是將高度敏感的物理隔離系統(tǒng)置入法拉第籠中。但法拉第籠的電磁屏蔽并非總是有效。本古里安大學(xué)最近的研究表明，法拉第籠也擋不住目標(biāo)主機(jī)和移動設(shè)備接收電磁傳輸信號。只要目標(biāo)主機(jī)感染了他們的惡意軟件即可， 研究人員調(diào)節(jié) CPU 負(fù)載的方式讓他們能夠產(chǎn)生更強(qiáng)的磁漏，從而突破法拉第籠的防御。

4. LED 狀態(tài)指示燈攻擊

關(guān)鍵系統(tǒng)物理隔離， 但通常仍處在 IP 攝像頭監(jiān)視之下。這種操作并不少見。然而，本以為是雙保險(xiǎn)的做法， 卻可能為攻擊者提供了完美的離線主機(jī)信息滲漏渠道。

去年，數(shù)支安全團(tuán)隊(duì)演示了利用 LED 狀態(tài)指示燈從未聯(lián)網(wǎng)系統(tǒng)中傳輸信息到 IP 攝像頭的方法。首先，上面提到過的本古里安大學(xué)那支專門研究邊信道的團(tuán)隊(duì)， 他們的 LED-it-GO 研究證明，可通過硬盤 LED 指示燈滲漏數(shù)據(jù)。然后，中國科技大學(xué)的研究人員更進(jìn)一步，寫出了能調(diào)整鍵盤燈閃爍的軟件，能夠以人眼察覺不到但 IP 攝像頭能捕獲到的調(diào)制方式泄露數(shù)據(jù)。兩種攻擊方法都是只要先黑進(jìn)監(jiān)視攝像頭，且在目標(biāo)系統(tǒng)植入惡意軟件，即可成功竊取完全隔離環(huán)境下計(jì)算機(jī)的信息。

5. 紅外遙控攻擊

今年早些時(shí)候， 中國科技大學(xué)的研究團(tuán)隊(duì)將利用 LED滲透提升到了全新的高度。他們打造了名為IREXF 的隱秘信道，給物理隔離的目標(biāo)主機(jī)增加了發(fā)送紅外遙感信號的功能，且滲漏途徑不僅僅是 IP 攝像頭，很多 IoT設(shè)備都可以。

代替惡意軟件成為物理隔離主機(jī)上進(jìn)行滲漏的是經(jīng)供應(yīng)鏈攻擊，通過目標(biāo)主機(jī)帶入的小小硬件模塊，建立隱秘信道，利用如今很多 IoT 設(shè)備都具備的紅外遙控功能來傳輸數(shù)據(jù)，從而竊取完全隔離環(huán)境下的計(jì)算機(jī)信息。

6. 電廣播和移動設(shè)備攻擊

你知道自己每次敲擊鍵盤的時(shí)候你的顯卡都在往外發(fā)出 FM 無線電信號嗎?本古里安大學(xué)的研究人員利用這一系統(tǒng)怪癖開發(fā)出了AirHopper 技術(shù)。2014 年的演示中， 他們利用手機(jī)中的 FM 接收器捕獲到了物理隔離主機(jī)上 用戶每次擊鍵時(shí)顯卡散發(fā)出的 FM 無線電信號。最終，該方法演變成了無 線鍵盤記錄器，能夠盜取隔離系統(tǒng)上錄入信息的那種。

7. 通過電源線竊取計(jì)算機(jī)數(shù)據(jù)

如果你想做到自己的電腦真正安全，請務(wù)必?cái)嚅_電源線。來自以色列內(nèi)蓋夫本古里安大學(xué)的莫迪凱·古里(Mordechai Guri)及其旁路攻擊研究團(tuán)隊(duì)研究人員寫了一篇題為《PowerHammer：通過電源線從物理隔離的計(jì)算機(jī)中泄露數(shù)據(jù)》的論文，所謂物理隔離是指一種將電腦進(jìn)行完全隔離(不與互聯(lián)網(wǎng)以及任何其他聯(lián)網(wǎng)設(shè)備連接)以保護(hù)數(shù)據(jù)安全的機(jī)制。

論文中介紹，這種被稱為“PowerHammer”的技術(shù)是通過在物理隔離計(jì)算機(jī)上安裝特定的惡意軟件，利用電腦 CPU產(chǎn)生類似莫爾斯電碼的信號，再通過電源線將數(shù)據(jù)轉(zhuǎn)化為二進(jìn)制代碼進(jìn)行傳輸。

研究人員介紹稱， 根據(jù)攻擊者采取的具體方法不同，數(shù)據(jù)可能以每秒10比特到 1000 比特的速度泄漏出去。如果攻擊者能夠直接連接計(jì)算機(jī)電源的電纜，那么泄露數(shù)據(jù)的速度就會更快。這種攻擊方式被稱為“l(fā)ine-levelpowerhammering”。如果攻擊者只能訪問建筑物的電力服務(wù)配電板，那么泄露數(shù)據(jù)的速度就會變得比較慢 ，這種攻擊方式被稱為 “ phase-levelpowerhammering”。

其中，“Line-level PowerHammering”攻擊適用于安裝英特爾 Haswell 芯片的電腦和安裝英特爾 XeonE5-2620 芯片的電腦，前者的數(shù)據(jù)讀取速度可以達(dá)到 1000bps;后者的數(shù)據(jù)讀取速度可以達(dá)到 100bps，零錯誤率。而“Phase-level powerhammering”攻擊的表現(xiàn)就要差得多了，由于受到其他設(shè)備的電信號干擾，數(shù)據(jù)讀取零錯誤率的速度只有 3bps，如果速度上升至10bps，錯誤率則將達(dá)到了 4.2%。

8. 揚(yáng)聲器和耳機(jī)隱秘傳輸數(shù)據(jù)

計(jì)算機(jī)揚(yáng)聲器和頭戴式耳機(jī)可以充當(dāng)秘密小話筒，通過超聲波接收數(shù)據(jù)并發(fā)回信號，讓物理隔離的敏感計(jì)算機(jī)系統(tǒng)沒有看上去那么安全。

2018 年 3 月 9 號， 以色列本古里安大學(xué)的研究人員在 ArXiv 上發(fā)表了一篇學(xué)術(shù)論文，描述了采用聽不見的超聲波進(jìn)行數(shù)據(jù)傳輸與接收的創(chuàng)新數(shù)據(jù)滲漏技術(shù)，可以在同一房間中沒有麥克風(fēng)的兩臺電腦之間收發(fā)數(shù)據(jù)。

論文題為《MOSQUITO：利用揚(yáng)聲器間通信在物理隔離計(jì)算機(jī)之間進(jìn)行隱秘超聲傳輸》， 撰寫此文的研發(fā)團(tuán)隊(duì)專精邊信道攻擊技術(shù)， 曾開發(fā)出一系列物理隔離主機(jī)間的數(shù)據(jù)傳輸方法。

比如：ODINI--利用電場在法拉第靜電屏蔽的計(jì)算機(jī)之間傳送數(shù)據(jù)的技術(shù); MAGNETO--用電場在物理隔離的計(jì)算機(jī)與智能手機(jī)之間傳送數(shù)據(jù)的技術(shù);以及 FANSMITTER--利用風(fēng)扇在物理隔離計(jì)算機(jī)之間發(fā)送音頻數(shù)據(jù)的方法。

此類隱秘?cái)?shù)據(jù)傳輸方法都是在 NSA 的 TEMPEST 攻擊基礎(chǔ)上發(fā)展而來的。TEMPEST 攻擊利用電子設(shè)備散發(fā)的電磁輻射、磁場、聲音、光線和熱量來收集并傳送數(shù)據(jù)。

MOSQUITO 證明了可以利用揚(yáng)聲器在相隔 9 米的未連接計(jì)算機(jī)之間隱秘傳輸數(shù)據(jù)。而且，運(yùn)用該方法，無麥克風(fēng)的頭戴式耳機(jī)也同樣可以充當(dāng)數(shù)據(jù)滲漏工具。研究人員稱，這是世界首例耳機(jī)間隱秘通信方法。

論文中解釋道， 揚(yáng)聲器可以被視為反向工作的麥克風(fēng)： 揚(yáng)聲器把電信號轉(zhuǎn)換為聲信號，而麥克風(fēng)則是將聲信號轉(zhuǎn)換為電信號。之所以能逆向該聲電轉(zhuǎn)換過程，就在于二者均使用了膜片來輔助此轉(zhuǎn)換。

利用 18 千赫到 24 千赫范圍內(nèi)的音頻， 研究人員能夠以 166 比特/秒的速率在 3 米距離上傳輸 1KB 二進(jìn)制文件，傳輸錯誤率為 1%。在 4 到 9 米距離上想要達(dá)到同樣低的錯誤率， 傳輸速度就要降到 10 比特/秒， 這很大程度上是由于環(huán)境噪音的干擾。

9. 利用以太網(wǎng)電纜從隔離計(jì)算機(jī)中竊取數(shù)據(jù)

以色列內(nèi)蓋夫本古里安大學(xué)的研究人員發(fā)現(xiàn)了一種被稱為 LANtenna 的新型電磁攻擊方法，該攻擊使用以太網(wǎng)電纜作為傳輸天線從隔離網(wǎng)絡(luò)的計(jì)算機(jī)中竊取敏感數(shù)據(jù)。

該大學(xué)網(wǎng)絡(luò)安全研究中心的研發(fā)主管 Mordechai Guri 表示， “惡意代碼可在物理隔離網(wǎng)絡(luò)的計(jì)算機(jī)中收集敏感數(shù)據(jù)， 并將以太網(wǎng)電纜作為天線，通過以太網(wǎng)電纜發(fā)出進(jìn)行過編碼的無線電波。附近的接收設(shè)備可以無線攔截信號， 解碼數(shù)據(jù)，并將其發(fā)送給攻擊者。

通常， 隔離網(wǎng)絡(luò)由于其基礎(chǔ)設(shè)施是物理隔離的， 因此會比傳統(tǒng)網(wǎng)絡(luò)更加安全， 很多大型工業(yè)公司(如電力、石油和天然氣公司)、 以及政府機(jī)構(gòu)與軍隊(duì)都使用物理隔離網(wǎng)絡(luò)。

Guri 表示， LANtenna 允許攻擊者以太網(wǎng)電纜發(fā)射 125 MHz 頻段的電磁波，將敏感數(shù)據(jù)從隔離的網(wǎng)絡(luò)泄漏到幾米外的位置。

四、物理隔離內(nèi)網(wǎng)安全建議

構(gòu)建了隔離內(nèi)網(wǎng)安全防護(hù)體系并不意味著就安全了， 根據(jù) Ramsay 等惡意軟件針對隔離網(wǎng)絡(luò)環(huán)境的攻擊，其目的是進(jìn)行各種網(wǎng)絡(luò)竊密活動，攻擊者將收集到的情報(bào)直接寫入移動存儲介質(zhì)的特定扇區(qū)， 并不在該存儲介質(zhì)上創(chuàng)建容易查看的文件，可見攻擊與收集行為極具隱蔽性，威脅性很大。針對隔離網(wǎng)絡(luò)攻擊的特點(diǎn)與流程大致如下：

(1)通過魚叉釣魚、水坑、供應(yīng)鏈攻擊等方式，初始攻擊某臺暴露在公網(wǎng)的主機(jī)。

(2)橫向滲透到某臺做為中轉(zhuǎn)的機(jī)器(該機(jī)器有在公網(wǎng)和隔離網(wǎng)絡(luò)間擺渡文件等功能)上， 下發(fā)感染文件(包括文檔文件、可執(zhí)行文件等)、收集信息等惡意插件模塊。

(3)在中轉(zhuǎn)機(jī)器上監(jiān)視可移動磁盤并感染可移動磁盤上的文件。

(4)可移動磁盤進(jìn)入隔離網(wǎng)絡(luò)。隔離網(wǎng)內(nèi)的機(jī)器若執(zhí)行被感染的文件，則收集該機(jī)器上的相關(guān)信息，并寫入可移動磁盤的磁盤扇區(qū)或文件的文檔文件的尾部。

(5)可移動磁盤再次插入中轉(zhuǎn)機(jī)器上時(shí)，中轉(zhuǎn)機(jī)器上的其他的惡意插件，對可移動磁盤特定扇區(qū)存儲的機(jī)密信息進(jìn)行收集，再回傳到攻擊者控制的服務(wù)器中。

(6)此外，攻擊者還會下發(fā)做為控制功能的文件， 把相關(guān)的指令和操作命令寫在控制文件中，然后通過可移動設(shè)備擺渡到隔離網(wǎng)絡(luò)中，再來解析執(zhí)行。

為此，建議特別關(guān)注以下安全措施加強(qiáng)防御， 防止黑客入侵：

(1)通過官方渠道或者正規(guī)的軟件分發(fā)渠道下載相關(guān)軟件，隔離網(wǎng)絡(luò)安裝使用的軟件及文檔須確保其來源可靠。

(2)嚴(yán)禁連接公用網(wǎng)絡(luò)。若必須連接公用網(wǎng)絡(luò)，建議不要進(jìn)行可能泄露 機(jī)密信息或隱私信息的操作，如收發(fā)郵件、即時(shí)(IM)通信甚至常用軟件 的升級操作。

(3)可能連接隔離網(wǎng)絡(luò)的系統(tǒng)，切勿輕易打開不明來源的郵件附件。

(4)需要在隔離網(wǎng)絡(luò)環(huán)境使用的移動存儲設(shè)備，需要特別注意安全檢查， 避免惡意程序通過插入移動介質(zhì)傳播。

(5)漏洞掃描及修復(fù)系統(tǒng)必須十分可靠，及時(shí)安裝系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

(6)殺毒軟件要及時(shí)升級，防御病毒木馬攻擊。

(7)在隔離網(wǎng)絡(luò)中的計(jì)算機(jī)操作人員仍然需要提高安全意識，注意到封閉的隔離網(wǎng)絡(luò)并不意味著絕對安全。