目前已經(jīng)有很多基于電磁、聲學(xué)和光側(cè)信道的攻擊方法來(lái)突破系統(tǒng)的物理隔離保護(hù)。然而所有這些方法在數(shù)據(jù)速率和距離上都是有限的，并且這些側(cè)信道攻擊的功能通常只是提供向外傳輸竊取的數(shù)據(jù)。因此作者提出了一種新的側(cè)信道攻擊方法—LaserShark來(lái)向物理隔離的系統(tǒng)內(nèi)滲透數(shù)據(jù)。LaserShark無(wú)需任何額外的硬件，它通過(guò)將激光瞄準(zhǔn)已經(jīng)內(nèi)置 LED并記錄其響應(yīng)，可以實(shí)現(xiàn)長(zhǎng)距離(25 m)、雙向和快速(18.2 kbps輸入& 100 kbps輸出)隱蔽通信通道。該方法可用于在CPU的GPIO接口上操作LED的任何辦公設(shè)備。

攻擊原理

1.側(cè)信道設(shè)備：

正如發(fā)光二極管的名稱所暗示的那樣，LED的設(shè)計(jì)和制造都是為了發(fā)出光。在辦公設(shè)備中，它們主要用于指示設(shè)備的狀態(tài)或?qū)崿F(xiàn)顯示功能。然而，計(jì)算機(jī)設(shè)備的LED燈可以被用作接收器，從而建立了一個(gè)雙向通信通道。圖1描述了作者的攻擊的主要原理，使用強(qiáng)聚焦的激光束照射LED，LED燈會(huì)產(chǎn)生感應(yīng)電流，如果此時(shí)設(shè)備在通用I/O接口上正在操作LED，則可以通過(guò)固件測(cè)量感應(yīng)電流產(chǎn)生的相應(yīng)電壓，用于傳輸數(shù)據(jù)。該設(shè)備LED是閃爍狀態(tài)的，這樣攻擊者就能夠觀察到用一個(gè)類似于用來(lái)聚焦激光的望遠(yuǎn)鏡發(fā)出的光，在兩個(gè)方向上的傳輸只需要幾個(gè)100ms，因此攻擊是相當(dāng)?shù)碾[蔽。

圖1 使用設(shè)備的LED的雙向隱蔽通道的示意圖

2.攻擊條件：

對(duì)于作者的攻擊者模型，假設(shè)已經(jīng)通過(guò)軟件供應(yīng)鏈形式在目標(biāo)設(shè)備上產(chǎn)生了初始的“植入”(“SolarWinds”：利用SolarWinds的數(shù)字證書(shū)繞過(guò)驗(yàn)證，并在休眠2周左右后會(huì)和第三方進(jìn)行通信，并且根據(jù)返回的指令執(zhí)行操作，包括傳輸文件，執(zhí)行文件，重啟系統(tǒng)等。這些通信會(huì)偽裝成Orion Improvement Program 協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中，從而達(dá)成隱藏自身的目的)，例如，設(shè)備固件的定期更新可能會(huì)不注意地添加通過(guò)內(nèi)置LED發(fā)送和接收數(shù)據(jù)的必要代碼。設(shè)備的特性，如內(nèi)置的LED和電路細(xì)節(jié)，都是攻擊者所知道的。最后為了使攻擊成功，需要一條直接的視線來(lái)觀察和驅(qū)動(dòng)LED。對(duì)于讀取和寫(xiě)入通用IO(GPIO)接口，通常需要系統(tǒng)特權(quán)，然而攻擊者既不需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)，也不要求硬件的所有者無(wú)意或有意地與設(shè)備進(jìn)行交互。

3.滲透數(shù)據(jù)：

與目標(biāo)設(shè)備相比，攻擊者完全可以自由地選擇必要的硬件，以便在攻擊者的隱蔽通道的末端建立穩(wěn)定的通信。雖然在費(fèi)用和設(shè)備大 小方面幾乎沒(méi)有上限，但攻擊者一般使用很容易獲得的家庭電源的移動(dòng)消費(fèi)組件來(lái)實(shí)施攻擊。作者的攻擊設(shè)備配置設(shè)置如圖2所示，激光束的波長(zhǎng)是攻擊成功的關(guān)鍵，需要與目標(biāo)LED的吸收范圍相匹配。在圖3的底部，作者展示了四種不同的激光器的波長(zhǎng)，它們發(fā)出藍(lán)色/紫色(左邊的兩個(gè)峰值)、綠色(中間的峰值)和紅光(最右邊的峰值)。這清楚地表明并不是所有的激光器都可以用來(lái)誘導(dǎo)電流進(jìn)入任何二極管。雖然藍(lán)色和紫色的激光對(duì)綠色工作良好，但這并不是對(duì)綠色電話的紅色LED，但對(duì)于綠色激光，它的表現(xiàn)恰好是相反的。有趣的是，紅色激光器只是擴(kuò)寬了紅色二極管的范圍，而且超出了綠色二極管的吸收范圍。這四個(gè)激光模塊的功率差異很大，但所有的都在商業(yè)上沒(méi)有限制，范圍為5-150mW。小于5mW的常規(guī)激光模塊被認(rèn)為是1-3R類，其光譜在405-980nm范圍內(nèi)。更強(qiáng)大的設(shè)備可以發(fā)射100mW，屬于3B級(jí)，這種激光器只適用于固定波長(zhǎng)，如405nm(紫色)、532nm(綠色)和650nm(紅色)。雕刻激光器是第4級(jí)。這些激光器通常使用的波長(zhǎng)為450納米。使用這種激光器可以連接的距離取決于激光束聚焦的能力和由此產(chǎn)生的在LED上提高的光功率。使用的望遠(yuǎn)鏡越好，距離就越大。作為作者對(duì)數(shù)據(jù)滲透評(píng)估的一部分，作者提供了不同光功率的測(cè)量。

圖2 攻擊者端用于(a)數(shù)據(jù)滲透和(b)數(shù)據(jù)外傳的望遠(yuǎn)鏡、激光和示波器

圖3 YealinkSIP-T21PE2的led在25mW(上)處的吸收光譜和兩藍(lán)色/紫色、一個(gè)綠色和一個(gè)紅色激光模塊(下)的發(fā)射光譜

4.數(shù)據(jù)外傳：

與高精度產(chǎn)生光束相比，攻擊者末端對(duì)記錄目標(biāo)設(shè)備發(fā)出的光信 號(hào)的要求不那么專業(yè)。在最簡(jiǎn)單的情況下，一款配備消費(fèi)者高速 攝像頭的現(xiàn)代智能手機(jī)就足夠了。這些相機(jī)以240幀/秒的速度捕捉光線，從而實(shí)現(xiàn)了適度的傳輸速率。此外，可橋接的距離受到相機(jī)靈敏度的限制。這兩個(gè)方面都可以通過(guò)使用專門的光學(xué)設(shè)備來(lái)改進(jìn)，例如一個(gè)類似于用來(lái)聚焦激光束的望遠(yuǎn)鏡，以及一個(gè)專用的光傳感器，如光電探測(cè)器(PD)。傳統(tǒng)的光電探測(cè)器的響應(yīng)時(shí)間只有幾納秒和一個(gè)寬的光譜響應(yīng)。然而，它們的靈敏度有限，而且活躍區(qū)域很小，這使得它們很難捕捉長(zhǎng)距離的光信號(hào)。為了測(cè)量非常少量的光，作者因此使用了所謂的雪崩光電探測(cè)器(APD)。這些探測(cè)器會(huì)產(chǎn)生一個(gè)強(qiáng)電場(chǎng)來(lái)增加對(duì)入射光的靈敏度。當(dāng)光子撞擊傳感器時(shí)，這個(gè)電場(chǎng)加速電子，通過(guò)沖擊電離產(chǎn)生二次電子。由此產(chǎn)生的電子雪崩產(chǎn)生了數(shù)百個(gè)增益因子，這種放大限制了探測(cè)器的可用帶寬為100kHz。盡管如此，這一速度還是大大超過(guò)了高速攝像機(jī)，并使作者能夠超過(guò)現(xiàn)有的隱蔽通道。

5.通信協(xié)議：

將數(shù)據(jù)滲透到?jīng)]有實(shí)時(shí)能力處理器的設(shè)備中，需要使用一種簡(jiǎn)單和健壯的調(diào)制技術(shù)。對(duì)于作者的攻擊，作者使用了脈沖寬度調(diào)制(PWM)的變體：傳輸一個(gè)0位對(duì)應(yīng)于一個(gè)短脈沖，而傳輸一個(gè)位是通過(guò)一個(gè)長(zhǎng)脈沖實(shí)現(xiàn)的，如圖4(頂部)所示。該方案要?dú)w功于上述的采樣策略。高值表示激光活動(dòng)，低值表示關(guān)閉。激光器不活躍的插槽被用來(lái)區(qū)分單個(gè)位。因此，可實(shí)現(xiàn)的數(shù)據(jù)速率取決于零位和一位的比率。在隨后的實(shí)驗(yàn)中，作者考慮最壞的情況(只發(fā)送1個(gè)脈沖)來(lái)報(bào)告數(shù)據(jù)速率的下界。然而，對(duì)于過(guò)濾數(shù)據(jù)，作者并不局限于特定的采樣策略，因?yàn)楣粽呖梢栽诮邮斩穗S意選擇他/她的硬件。因此，在辦公設(shè)備上，作者使用經(jīng)典的開(kāi)-關(guān)鍵控(OOK)來(lái)發(fā)送數(shù)據(jù)，即高值編碼一位，而低值表示零位。每個(gè)傳輸?shù)某掷m(xù)時(shí)間是相同的t1位=t0位。

圖4 存在電容器時(shí)的典型傳輸情況

總結(jié)

根據(jù)定義，物理隔離系統(tǒng)無(wú)法從外部滲透。然而現(xiàn)在研究界已經(jīng)表明，這并不一定是正確的，并已經(jīng)證明了多種彌合差距的方法。雖然這些方法以各種非常有創(chuàng)造性的隱蔽信道為特色，但由于低數(shù)據(jù)率、短距離或只有單向通信，它們的實(shí)際效用仍然存在問(wèn)題。我們是第一個(gè)以18.2kbps的速度將數(shù)據(jù)滲透到未經(jīng)修改的設(shè)備上的人，顯著改進(jìn)了相關(guān)方法。此外，我們演示了超過(guò)25m的100kbps的數(shù)據(jù)過(guò)濾，以建立一個(gè)雙向通信通道。雖然直接的視線是必要的，但我們不假設(shè)對(duì)設(shè)備進(jìn)行任何前期硬件修改，與傳統(tǒng)的VLC通信相比，我們不能在目標(biāo)設(shè)備上使用任何光學(xué)設(shè)備，這使得這成為一個(gè)特別具有挑戰(zhàn)性的設(shè)置。相反，我們假設(shè)通過(guò)軟件供應(yīng)鏈的初步妥協(xié)，類似于太陽(yáng)風(fēng)和CodeCov的事件，并使用已經(jīng)內(nèi)置的LED。通過(guò)此，我們表明，隱蔽通道并不局限于模糊和罕見(jiàn)的設(shè)置，而是在實(shí)踐中是一個(gè)真正的威脅。

參考文獻(xiàn)

翻譯自：Niclas Kühnapfel, Preuler S , Noppel M , et al. LaserShark: Establishing Fast, Bidirectional Communication into Air-Gapped Systems[J].2021.