MY TRIP

該項研究來自以色列內(nèi)蓋夫本古里安大學(xué)的網(wǎng)絡(luò)安全研究人員Mordechai Guri博士，他演示了一種新型惡意軟件—“POWERSUPPLaY”，可以從帶有電源設(shè)備的計算機中，繞過物理隔離系統(tǒng)和音頻隔離系統(tǒng)，在物理斷網(wǎng)狀態(tài)下竊取高度敏感數(shù)據(jù)。具體的方法涉及到一個可以改變CPU負(fù)載的惡意軟件，以及一部手機。通過改變CPU的負(fù)載，電源的超聲波頻率也會隨之改變，而在旁邊最遠不超過5米范圍的手機則可以收到這些超聲波，從而達到傳送數(shù)據(jù)的目的。

1.方法和原理分析

這種讓電源說話的惡意軟件，會通過啟動和停止CPU工作負(fù)載，影響電源的開關(guān)頻率，從理論上來看，并不難理解。大家都知道只要是變化的電流就一定會有對應(yīng)變化的電磁場，而惡意軟件就是將電磁變化轉(zhuǎn)為音頻，以便竊取數(shù)據(jù)。它不需要任何特殊提權(quán)。通常來說，惡意軟件多以獲取權(quán)限為入侵基礎(chǔ)，而這種利用電源電流的惡意軟件，并不需要任何特殊的系統(tǒng)權(quán)限、訪問硬件資源或是root權(quán)限，大大降低了惡意軟件攻擊過程中被安全軟件發(fā)現(xiàn)的可能性。其次，這種惡意軟件是專門針對GAP(物理隔離網(wǎng)絡(luò))環(huán)境研發(fā)的場景定制武器。所謂物理隔離網(wǎng)絡(luò)，是當(dāng)今已知安全性最高的網(wǎng)絡(luò)安全設(shè)備，代表著更安全的非網(wǎng)絡(luò)環(huán)境信息交換。從而讓電源中的變壓器和電容器發(fā)出聲音信號。目標(biāo)是靜默泄漏數(shù)據(jù)的惡意軟件不會播放任何引起注意的聲音。取而代之的是，它將在兩個或多個不同的頻率上播放可聽或不可聽的聲音，每個頻率代表一個0比特，一個1比特或一系列比特(例如00、01、10、11)，這些比特將被接收機捕獲。

圖1 攻擊原理圖

由于現(xiàn)代CPU是節(jié)能的，CPU的瞬時工作負(fù)載直接影響其功耗的動態(tài)變化。通過調(diào)節(jié)CPU的工作負(fù)載，就可以控制其功耗，從而控制SMPS的瞬時切換頻率。通過啟動和停止CPU工作負(fù)載，我們能夠設(shè)置SMPS，使它在指定的頻率切換，從而發(fā)出聲學(xué)信號并在其上調(diào)制二進制數(shù)據(jù)。為了生成開關(guān)頻率fc，我們以與fc相關(guān)的頻率控制CPU的利用率。為此，創(chuàng)建了n個工作線程，其中每個線程都綁定到一個特定的核心。為了產(chǎn)生載波，每個工作線程以頻率fc超載其核心，在其核心上重復(fù)施加連續(xù)工作負(fù)載1/2fc的時間和使其核心處于1/2fc的空閑狀態(tài)。算法1顯示了使用(nCores)個核心在(time)毫秒的持續(xù)時間內(nèi)生成聲調(diào)(freq)。一開始我們啟動(nCores)線程并將每個線程綁定到特定的核心。切換頻率由每個工作線程通過使用繁忙循環(huán)和屏障對象生成。我們使用繁忙等待技術(shù)使內(nèi)核過載，這會導(dǎo)致在該時間段內(nèi)充分利用內(nèi)核的效能。工作線程與屏障對象同步，允許它們完全啟動和停止切換頻率。主線程控制工作線程的同步，根據(jù)屏障時序改變循環(huán)狀態(tài)標(biāo)志，這確保了占空比的生成在內(nèi)核之間精確定時。

表1 聲音生成算法

單純從聲音來判斷，受攻擊電源發(fā)出的聲音與風(fēng)扇噪聲無異。不同的是，風(fēng)扇是真噪音，而惡意軟件操控電源發(fā)出的聲音，卻是可以泄露主機數(shù)據(jù)的特殊聲音。這種特殊的“噪音”，一旦被聲波接收設(shè)備捕獲，稍加提取處理，就能復(fù)原成原始信息，也就是目標(biāo)電腦設(shè)備上的高敏感數(shù)據(jù)。

對抗攻擊模型由發(fā)送方和接收方組成。通常，發(fā)送器是一臺計算機，接收器是一個屬于雇員或訪客附近的移動電話(圖2)。

圖2 攻擊模型的真實場景

1)感染階段：在初始階段，攻擊要求的條件是受感染的計算機必須配備內(nèi)部電源，如今幾乎每個計算機化系統(tǒng)中都存在該電源。另外，通過社會工程技術(shù)識別雇員的移動電話。假定員工在工作場所攜帶手機。然后，可以通過利用設(shè)備的漏洞進行物理接觸來感染這些設(shè)備，也可以使用電子郵件、SMS / MMS、惡意應(yīng)用程序及惡意網(wǎng)站等通過不同的攻擊媒介來感染手機。

圖3 該信息已通過從電源播放的秘密超聲波信號泄露

2)滲透階段：在滲透階段，受感染計算機中的惡意軟件會收集感興趣的敏感數(shù)據(jù)。數(shù)據(jù)可以是文件、擊鍵記錄、憑證(例如密碼)或加密密鑰。然后，惡意軟件使用計算機電源發(fā)出的聲波來調(diào)制和傳輸數(shù)據(jù)(圖3)，從頻譜圖中我們也可以看出，使用了四個不同的頻率進行調(diào)制。附近的受感染手機會檢測傳輸情況，對數(shù)據(jù)進行解調(diào)和解碼，然后使用移動數(shù)據(jù)或Wi-Fi通過Internet將其傳輸給攻擊者。

2.防御措施

作為對策，研究人員建議在禁止移動電話和其他電子設(shè)備的受限區(qū)域中對敏感系統(tǒng)進行分區(qū)。要擁有一個入侵檢測系統(tǒng)來監(jiān)視可疑的CPU行為，并設(shè)置基于硬件的信號檢測器和干擾器，也可能有助于抵御提議的秘密通道。這里我們在等級保護三級及以上系統(tǒng)中，要求屏蔽機柜或機房，其意義在此技術(shù)過程中就凸顯出來了。

3.總 結(jié)

在本文中，作者證明了運行在計算機上的惡意軟件可以使用電源作為一個帶外揚聲器。在系統(tǒng)中執(zhí)行的代碼可以有意地調(diào)節(jié)電源的內(nèi)部開關(guān)頻率，從而控制由其電容器和變壓器產(chǎn)生的波形。這種技術(shù)允許從各種類型的計算機和設(shè)備中產(chǎn)生聲音和超聲波音頻音調(diào)，即使音頻硬件被阻塞、禁用或不存在。電源供應(yīng)代碼可以從一個普通的用戶模式進程中操作，并且不需要硬件訪問或根特權(quán)。這種方法不調(diào)用特殊的系統(tǒng)調(diào)用或訪問硬件資源，因此是高度隱蔽的。通過使用電源供應(yīng)，我們可以從無音頻的系統(tǒng)中傳輸數(shù)據(jù)到附近的手機，最大比特率為50比特/秒。

參考文獻

翻譯自：Guri M . POWER-SUPPLaY: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers[J].2021.