物理隔离内网面临的安全威胁

一直以来，关于网络安全存在这样一个理念，互联网受制于体系、架构以及各种复杂环境因素的影响，存在太多的不安全因素，是一个不可信的环境，为此各种不同用户极尽全力营造一个封闭的专用或私有“内网”，逻辑方式的虚拟专网 VPN、实体方式的物理隔离内网。

内网—特别是物理隔离的内网其安全体系与外网安全体系相比，可以做得更加全面和细致，它可以采用各种技术手段和行政管理措施来进行强监管、强认证、强加密，确保其万无一失。事实果真如此吗?

2021 年 4 月 10 日，伊朗总统鲁哈尼在伊朗核技术日线上纪念活动上下令启动纳坦兹核设施内的近 200 台 IR-6 型离心机，开始生产浓缩铀(IR-6型离心机生产浓缩铀的效率是第一代 IR- 1 型的 10 倍，而就在开始生产浓缩铀后， 伊朗纳坦兹核设施的配电系统就在第二天(4 月11 日)发生故障。该次事故是以色列摩萨德是对伊朗伊朗纳坦兹核设施进行的网络攻击的结果，物理隔离的核设施内网被一举攻下导致了该次断电。

二、针对物理隔离内网的典型攻击事件

网络隔离技术分为物理隔离和逻辑隔离，物理隔离就是将两个网络物理上互不连接，物理隔离需要做两套或者几套网络，一般分为内、外网。

物理隔离的网络通常出现在政府机构、大型企业以及军事部门中，它们通常存储着保密的文件或重要隐私及数据。攻克物理隔离网络通常被视为安全漏洞的圣杯，因为破坏或渗透物理隔离系统的难度极大。

内网隔离于外界网络,不仅是系统/企业/单位/部门最核心的部分, 同时也是黑客攻击的最终目标。一直以来，我们都认为借助物理层面的网络隔离，在理想情况下可以有效地阻断传统的基于网络路由可达的网络攻击、确保隔离内网的环境的安全稳定，只要集中精力做好内部网络管控即可。

然而， 从 2010 年 6 月的“震网”事件开始彻底颠覆了我们的传统认知。“震网”病毒被称为有史以来最复杂的网络武器，让我们大开眼界。它使用了4 个Windows 0day 漏洞，成功地被用于攻击伊朗的封闭网络中的核设施工控设备，让全世界认识到了物理隔离内网并不安全。

CSI、FBI 曾经对全球曾经遭受过网络安全问题的 484 家公司进行过网络安全专项调查，调查显示出有超过 5%的公司隔离内网遭到过外部黑客的攻击和破坏。

近年来，最著名的几起针对物理隔离网络的攻击事件：

1. DarkHotel-Ramsay

2020 年 5 月，国外安全机构ESET发现了一款名为Ramsay 的攻击组件，该组件具备隔离网络攻击能力，经关联分析，该组件为Darkhotel 组织所有，至今已存在多个迭代版本。Ramsay 组件为携带蠕虫模块的打包器程序，通过 USB 移动存储设备进行互联网主机与隔离网络主机之间的信息摆渡，最终实现内网渗透、文件窃密、恶意模块执行、 shell 执行等功能。

2. DarkHotel-Asruex

Asruex 是一款附带蠕虫感染能力的后门类型木马，该木马最早于 2015年因被关联到 Darkhotel APT 组织而被公众熟悉， Darkhotel 组织在针对中日国家特定从业人员的定向攻击中曾使用了该木马。 Asruex 最开始被披露时，人们关注的重点为它的 PC 主机信息收集功能和后门执行功能， 它的文件感染能力并没有深入分析。直到后续趋势科技的恶意代码研究人员在总结分析 Asruex 木马时，才发现其强大的蠕虫感染能力。通过对感染模块的深入分析，证实了 Asruex 木马具备借助 USB 摆渡实现人力传播的能力。

到现在为止，我们能确定的只是 Asruex 木马具备信息收集、后门执行、USB 存储设备中文件感染的能力。其对于隔离网络环境的攻击只是我们的猜测，如果比对严格的隔离网攻击事件的话，其缺少明显的环境探测环节以及可能会涉及的摆渡信息交互环节。当然该木马的后门功能部分可以在互联网 PC 机器上通过 C&C 端下发组件去完善这些缺失的功能，所以基于已有的分析研究我们可以初步判定Darkhotel组织的Asruex木马具备初步的隔离网攻击结构。

3. Stuxnet

如果说前面两个攻击事件只是初步具备隔离网攻击能力， 那么震网攻击事件中的 Stuxnet 蠕虫绝对是教科书级别的专业隔离网络攻击武器。 Stuxnet蠕虫于 2010 年被国内外多家安全机构披露， 虽然至今已过去十年时间，但是其放在今天依然是核弹级别的网络武器。

2010 年 6 月， 美方所发起的该起攻击事件是一起出于军事打击的摧毁核建设设施的攻击活动。震网活动经过长期规划准备和入侵潜伏作业，借助高度复杂的恶意代码和多个零日漏洞作为攻击武器，以铀离心机为攻击目标，以造成超压导致离心机批量损坏和改变离心机转数导致铀无法满足武器要求为致效机理，最终阻断了军事敌对国伊朗的核武器研发建设。这也是首起被披露的借助网络武器实施隔离网络工控设备攻击而且攻击成功的事件。

4. Cycldek-USBCulprit

USBCulprit 木马由卡巴斯基恶意代码分析团队在 2020 年 6 月份披露，该木马为 Cycldek APT 组织所有，并且在 2018 年的定向攻击事件中投入使用。准确来讲， 该木马是一个借助 USB 移动存储设备进行不同 PC 机器之间数据交互的功能组件(动态链接库 DLL),通过对其进行功能分析能够确认该木马具备隔离网络数据交互、信息收集的能力。

USBCulprit 木马采用无文件攻击技术启用， 由一个免杀能力较好的加载器模块加载指定目录下的加密二进制文件，然后内存解密装载执行。

三、物理隔离内网面临的安全威胁

物理隔离内网不可能不与外界交互数据， 因此隔离网络系统的建设注定要牺牲网络数据交换的便捷性。为了解决实际生产环境中的数据交换需求，经常会出现一些“不得已”的操作， 譬如搭建内网跳板机映射共享目录、使用可移动存储设备进行数据摆渡等，这些操作相当于间接打通了一条与外网通信的隧道，从而破坏其物理隔离的完整性。除此之外，物理隔离环境会导致隔离内网环境的安全更新(漏洞补丁、病毒库等)滞后。

从前面几起典型的攻击事件可见， 借助移动存储设备摆渡实现对隔离网络的攻击是主流的攻击手段，也是具有挑战性的任务。站在攻击方角度，攻击载荷的设计需要考虑众多问题： 如何应对未知的隔离网环境?如何防止攻击组件的扩散(可移动存储设备并非完全用于隔离网络)?如何准确地进行 USB 摆渡信息交互(如果需要交互的话) ?如何降低被发现的风险并且提升攻击成功率? …所以， 在实际攻击中， 针对隔离网络的定向攻击活动的幕后团伙往往是实力强大的国家级网军队伍。

对隔离网络的攻击除采用 USB 等可存储设备摆渡进入隔离网络外，目前还存在诸多特别手段，比较典型的：

1. U 盘用作射频发射器开展攻击

2016 年，本古里安大学研究人员利用 U 盘突破物理隔离的技术再次升级。他们展示的 USBee 恶意软件可将普通正常 U 盘用作射频(RF)发射器，在物理隔离的主机和攻击者的接收器间传递数据，进而加载漏洞利用程序和其他工具，以及从目标主机渗漏数据。接收器与目标主机之间的距离最长可达 9 英寸，如果架上天线，二者之间的距离还能更延长。攻击者找机会将初始恶意软件植入目标主机， 且该物理隔离的目标主机使用 U 盘，USBee 即可起效。

2. CPU 电磁信号攻击

佐治亚理工学院的研究人员花了 5 年多的时间研究如何利用 CPU泄露的电磁信号建立隐秘信道突破物理隔离。 2013 年他们就演示了该电磁信道用于拾取同一房间内物理隔离主机击键信息的方法。最近，他们一直在评估通过 CPU 指令处理所产生的电磁信号到底能渗漏多少信息， 并提供衡量边信道能力的方法，以便软硬件设计者能有个标准来评估未来应对此类攻击的反制措施的有效性。

3. 法拉第笼的电磁信道攻击

安全人员对电磁信道威胁的响应可能是将高度敏感的物理隔离系统置入法拉第笼中。但法拉第笼的电磁屏蔽并非总是有效。本古里安大学最近的研究表明，法拉第笼也挡不住目标主机和移动设备接收电磁传输信号。只要目标主机感染了他们的恶意软件即可， 研究人员调节 CPU 负载的方式让他们能够产生更强的磁漏，从而突破法拉第笼的防御。

4. LED 状态指示灯攻击

关键系统物理隔离， 但通常仍处在 IP 摄像头监视之下。这种操作并不少见。然而，本以为是双保险的做法， 却可能为攻击者提供了完美的离线主机信息渗漏渠道。

去年，数支安全团队演示了利用 LED 状态指示灯从未联网系统中传输信息到 IP 摄像头的方法。首先，上面提到过的本古里安大学那支专门研究边信道的团队， 他们的 LED-it-GO 研究证明，可通过硬盘 LED 指示灯渗漏数据。然后，中国科技大学的研究人员更进一步，写出了能调整键盘灯闪烁的软件，能够以人眼察觉不到但 IP 摄像头能捕获到的调制方式泄露数据。两种攻击方法都是只要先黑进监视摄像头，且在目标系统植入恶意软件，即可成功窃取完全隔离环境下计算机的信息。

5. 红外遥控攻击

今年早些时候， 中国科技大学的研究团队将利用 LED渗透提升到了全新的高度。他们打造了名为IREXF 的隐秘信道，给物理隔离的目标主机增加了发送红外遥感信号的功能，且渗漏途径不仅仅是 IP 摄像头，很多 IoT设备都可以。

代替恶意软件成为物理隔离主机上进行渗漏的是经供应链攻击，通过目标主机带入的小小硬件模块，建立隐秘信道，利用如今很多 IoT 设备都具备的红外遥控功能来传输数据，从而窃取完全隔离环境下的计算机信息。

6. 电广播和移动设备攻击

你知道自己每次敲击键盘的时候你的显卡都在往外发出 FM 无线电信号吗?本古里安大学的研究人员利用这一系统怪癖开发出了AirHopper 技术。2014 年的演示中， 他们利用手机中的 FM 接收器捕获到了物理隔离主机上 用户每次击键时显卡散发出的 FM 无线电信号。最终，该方法演变成了无 线键盘记录器，能够盗取隔离系统上录入信息的那种。

7. 通过电源线窃取计算机数据

如果你想做到自己的电脑真正安全，请务必断开电源线。来自以色列内盖夫本古里安大学的莫迪凯·古里(Mordechai Guri)及其旁路攻击研究团队研究人员写了一篇题为《PowerHammer：通过电源线从物理隔离的计算机中泄露数据》的论文，所谓物理隔离是指一种将电脑进行完全隔离(不与互联网以及任何其他联网设备连接)以保护数据安全的机制。

论文中介绍，这种被称为“PowerHammer”的技术是通过在物理隔离计算机上安装特定的恶意软件，利用电脑 CPU产生类似莫尔斯电码的信号，再通过电源线将数据转化为二进制代码进行传输。

研究人员介绍称， 根据攻击者采取的具体方法不同，数据可能以每秒10比特到 1000 比特的速度泄漏出去。如果攻击者能够直接连接计算机电源的电缆，那么泄露数据的速度就会更快。这种攻击方式被称为“line-levelpowerhammering”。如果攻击者只能访问建筑物的电力服务配电板，那么泄露数据的速度就会变得比较慢 ，这种攻击方式被称为 “ phase-levelpowerhammering”。

其中，“Line-level PowerHammering”攻击适用于安装英特尔 Haswell 芯片的电脑和安装英特尔 XeonE5-2620 芯片的电脑，前者的数据读取速度可以达到 1000bps;后者的数据读取速度可以达到 100bps，零错误率。而“Phase-level powerhammering”攻击的表现就要差得多了，由于受到其他设备的电信号干扰，数据读取零错误率的速度只有 3bps，如果速度上升至10bps，错误率则将达到了 4.2%。

8. 扬声器和耳机隐秘传输数据

计算机扬声器和头戴式耳机可以充当秘密小话筒，通过超声波接收数据并发回信号，让物理隔离的敏感计算机系统没有看上去那么安全。

2018 年 3 月 9 号， 以色列本古里安大学的研究人员在 ArXiv 上发表了一篇学术论文，描述了采用听不见的超声波进行数据传输与接收的创新数据渗漏技术，可以在同一房间中没有麦克风的两台电脑之间收发数据。

论文题为《MOSQUITO：利用扬声器间通信在物理隔离计算机之间进行隐秘超声传输》， 撰写此文的研发团队专精边信道攻击技术， 曾开发出一系列物理隔离主机间的数据传输方法。

比如：ODINI--利用电场在法拉第静电屏蔽的计算机之间传送数据的技术; MAGNETO--用电场在物理隔离的计算机与智能手机之间传送数据的技术;以及 FANSMITTER--利用风扇在物理隔离计算机之间发送音频数据的方法。

此类隐秘数据传输方法都是在 NSA 的 TEMPEST 攻击基础上发展而来的。TEMPEST 攻击利用电子设备散发的电磁辐射、磁场、声音、光线和热量来收集并传送数据。

MOSQUITO 证明了可以利用扬声器在相隔 9 米的未连接计算机之间隐秘传输数据。而且，运用该方法，无麦克风的头戴式耳机也同样可以充当数据渗漏工具。研究人员称，这是世界首例耳机间隐秘通信方法。

论文中解释道， 扬声器可以被视为反向工作的麦克风： 扬声器把电信号转换为声信号，而麦克风则是将声信号转换为电信号。之所以能逆向该声电转换过程，就在于二者均使用了膜片来辅助此转换。

利用 18 千赫到 24 千赫范围内的音频， 研究人员能够以 166 比特/秒的速率在 3 米距离上传输 1KB 二进制文件，传输错误率为 1%。在 4 到 9 米距离上想要达到同样低的错误率， 传输速度就要降到 10 比特/秒， 这很大程度上是由于环境噪音的干扰。

9. 利用以太网电缆从隔离计算机中窃取数据

以色列内盖夫本古里安大学的研究人员发现了一种被称为 LANtenna 的新型电磁攻击方法，该攻击使用以太网电缆作为传输天线从隔离网络的计算机中窃取敏感数据。

该大学网络安全研究中心的研发主管 Mordechai Guri 表示， “恶意代码可在物理隔离网络的计算机中收集敏感数据， 并将以太网电缆作为天线，通过以太网电缆发出进行过编码的无线电波。附近的接收设备可以无线拦截信号， 解码数据，并将其发送给攻击者。

通常， 隔离网络由于其基础设施是物理隔离的， 因此会比传统网络更加安全， 很多大型工业公司(如电力、石油和天然气公司)、 以及政府机构与军队都使用物理隔离网络。

Guri 表示， LANtenna 允许攻击者以太网电缆发射 125 MHz 频段的电磁波，将敏感数据从隔离的网络泄漏到几米外的位置。

四、物理隔离内网安全建议

构建了隔离内网安全防护体系并不意味着就安全了， 根据 Ramsay 等恶意软件针对隔离网络环境的攻击，其目的是进行各种网络窃密活动，攻击者将收集到的情报直接写入移动存储介质的特定扇区， 并不在该存储介质上创建容易查看的文件，可见攻击与收集行为极具隐蔽性，威胁性很大。针对隔离网络攻击的特点与流程大致如下：

(1)通过鱼叉钓鱼、水坑、供应链攻击等方式，初始攻击某台暴露在公网的主机。

(2)横向渗透到某台做为中转的机器(该机器有在公网和隔离网络间摆渡文件等功能)上， 下发感染文件(包括文档文件、可执行文件等)、收集信息等恶意插件模块。

(3)在中转机器上监视可移动磁盘并感染可移动磁盘上的文件。

(4)可移动磁盘进入隔离网络。隔离网内的机器若执行被感染的文件，则收集该机器上的相关信息，并写入可移动磁盘的磁盘扇区或文件的文档文件的尾部。

(5)可移动磁盘再次插入中转机器上时，中转机器上的其他的恶意插件，对可移动磁盘特定扇区存储的机密信息进行收集，再回传到攻击者控制的服务器中。

(6)此外，攻击者还会下发做为控制功能的文件， 把相关的指令和操作命令写在控制文件中，然后通过可移动设备摆渡到隔离网络中，再来解析执行。

为此，建议特别关注以下安全措施加强防御， 防止黑客入侵：

(1)通过官方渠道或者正规的软件分发渠道下载相关软件，隔离网络安装使用的软件及文档须确保其来源可靠。

(2)严禁连接公用网络。若必须连接公用网络，建议不要进行可能泄露 机密信息或隐私信息的操作，如收发邮件、即时(IM)通信甚至常用软件 的升级操作。

(3)可能连接隔离网络的系统，切勿轻易打开不明来源的邮件附件。

(4)需要在隔离网络环境使用的移动存储设备，需要特别注意安全检查， 避免恶意程序通过插入移动介质传播。

(5)漏洞扫描及修复系统必须十分可靠，及时安装系统补丁和重要软件的补丁。

(6)杀毒软件要及时升级，防御病毒木马攻击。

(7)在隔离网络中的计算机操作人员仍然需要提高安全意识，注意到封闭的隔离网络并不意味着绝对安全。