物理隔離網(wǎng)絡(luò)雙向數(shù)據(jù)傳輸關(guān)鍵技術(shù)研究

0引言高防護(hù)環(huán)境是計(jì)算機(jī)防護(hù)等級下的概念，對于計(jì)算機(jī)網(wǎng)絡(luò)中重要的數(shù)據(jù)和文件，可采用網(wǎng)絡(luò)隔離技術(shù)提高防護(hù)能力。網(wǎng)絡(luò)隔離通常分為物理隔離和邏輯隔離。邏輯隔離是通過協(xié)議阻隔數(shù)據(jù)交互的隔離手段；物理隔離，又稱為“氣隙”隔離（air-gap），通過阻斷網(wǎng)絡(luò)的物理連接，將重要的、需高防護(hù)的目標(biāo)網(wǎng)絡(luò)或節(jié)點(diǎn)與其他網(wǎng)絡(luò)隔離，是一種更為徹底、安全性更高的安全防護(hù)方法。對于物理隔離的計(jì)算機(jī)網(wǎng)絡(luò)主機(jī)，以色列古里安大學(xué)團(tuán)隊(duì)依托電磁波、磁場、熱量、聲波、可見光等介質(zhì)，實(shí)現(xiàn)了對物理隔離網(wǎng)絡(luò)主機(jī)的數(shù)據(jù)竊取。這種利用物理隔離網(wǎng)絡(luò)主機(jī)自主產(chǎn)生的介質(zhì)建立數(shù)據(jù)傳輸通道的方法，又稱為側(cè)信道攻擊，其突出的優(yōu)點(diǎn)是隱蔽性好，缺點(diǎn)是技術(shù)難度高。在2014年美國的一次黑客會(huì)議上，首次出現(xiàn)了利用USBHID協(xié)議漏洞的攻擊方法，攻擊設(shè)備稱為BADUSB。隨后，國內(nèi)也陸續(xù)出現(xiàn)了“燒鵝”、Leonardo、WifiDucky、USBninja數(shù)據(jù)線、樹莓派系列的BADUSB等，以上設(shè)備在網(wǎng)上商城基本都能購買，價(jià)格在幾十元到幾百元不等。這些設(shè)備的共同點(diǎn)是，將USB接口設(shè)備模擬成HID設(shè)備，通過模擬鍵盤或鼠標(biāo)的方法對物理隔離網(wǎng)絡(luò)主機(jī)進(jìn)行攻擊（前提是目標(biāo)主機(jī)USB接口可用），其突出優(yōu)點(diǎn)是技術(shù)門檻低，缺點(diǎn)是單向控制，無法雙向數(shù)據(jù)傳輸?；赨SBHID攻擊技術(shù)，2016年利用microPython開發(fā)板，使用2.4G無線模塊主動(dòng)構(gòu)建無線傳輸信道，基本實(shí)現(xiàn)了對物理隔離網(wǎng)絡(luò)主機(jī)的惡意軟件植入、遠(yuǎn)控、雙向數(shù)據(jù)傳輸?shù)裙δ?，傳輸速?.4kB/s，在功能上較為接近美國“水蝮蛇”攻擊設(shè)備[8]。然而，該攻擊方法沒有設(shè)計(jì)出基于最小開發(fā)系統(tǒng)芯片的便攜設(shè)備。文章利用STM32F103C8T6和ESP8266無線模塊設(shè)計(jì)了最小開發(fā)系統(tǒng)芯片的設(shè)備，即STM32Ducky便攜設(shè)備，針對物理隔離網(wǎng)絡(luò)主機(jī)構(gòu)建了有效的雙向傳輸模型，具有較好的實(shí)踐性，對USBHID類的便攜設(shè)備開發(fā)有一定參考意義。1物理隔離網(wǎng)絡(luò)隱蔽信道通信模型1.1隱蔽信道通信一般模型圖1利用隱蔽信道攻擊物理隔離網(wǎng)絡(luò)模型如圖1所示，假定目標(biāo)主機(jī)位于物理隔離網(wǎng)絡(luò)，與互聯(lián)網(wǎng)等外界網(wǎng)絡(luò)無任何通信。攻擊者利用社會(huì)工程學(xué)等方法將惡意軟件或硬件植入目標(biāo)主機(jī)中；惡意軟硬件按照攻擊者意圖收集敏感信息，并通過電磁波、磁場、聲波等介質(zhì)與攻擊者建立隱蔽通信信道；最終攻擊者竊取到目標(biāo)機(jī)敏感信息。隱蔽通信信道是一種突破物理隔離網(wǎng)絡(luò)封鎖，進(jìn)行數(shù)據(jù)竊取和雙向控制的較為有效的方法。具體實(shí)現(xiàn)過程中，往往需要攻擊者抵近到目標(biāo)區(qū)域，直接將惡意程序植入或間接利用社工的方法植入，同時(shí)需要借助物理隔離網(wǎng)絡(luò)主機(jī)本身提供的電磁波、光等傳輸介質(zhì)或攻擊者主動(dòng)構(gòu)建的傳輸通道。文章主要對主動(dòng)構(gòu)建隱蔽信道的實(shí)現(xiàn)技術(shù)和可行性方法進(jìn)行探索研究。1.2

基于HID便攜設(shè)備的雙向數(shù)據(jù)傳輸模型如圖2所示，模型主要涉及兩項(xiàng)關(guān)鍵技術(shù)，分別為植入技術(shù)和雙向數(shù)據(jù)傳輸技術(shù)，前者解決物理隔離網(wǎng)絡(luò)“破”的問題，即打破物理隔離的封鎖；后者解決物理隔離網(wǎng)絡(luò)“出”的問題，即通過主動(dòng)建立隱蔽通道，實(shí)現(xiàn)雙向控制和數(shù)據(jù)傳輸。目標(biāo)主機(jī)假定，物理隔離網(wǎng)絡(luò)計(jì)算機(jī)主機(jī)，操作系統(tǒng)為Windows系統(tǒng)，已禁用或拆除網(wǎng)卡，不存在有線和無線的網(wǎng)絡(luò)接入；計(jì)算機(jī)安全策略禁止大容量存儲(chǔ)設(shè)備接入。雙向數(shù)據(jù)傳輸?shù)年P(guān)鍵是，在攻擊機(jī)和目標(biāo)機(jī)之間主動(dòng)構(gòu)建雙向數(shù)據(jù)傳輸通道。文章中采用STM32Ducky便攜設(shè)備（核心模塊為STM32芯片和ESP8266無線模塊）構(gòu)建無線網(wǎng)絡(luò)信道，其中STM32芯片模擬HID設(shè)備，實(shí)現(xiàn)隱蔽性植入，ESP8266模塊用來構(gòu)建無線網(wǎng)絡(luò)；同時(shí)利用“客戶端/服務(wù)器（C/S，即client/server）模式”，實(shí)現(xiàn)攻擊機(jī)和目標(biāo)機(jī)的雙向數(shù)據(jù)傳輸。圖2基于STM32Ducky便攜設(shè)備的雙向數(shù)據(jù)傳輸模型2物理隔離網(wǎng)絡(luò)雙向數(shù)據(jù)傳輸關(guān)鍵技術(shù)2.1植入技術(shù)：BreachingtheAir-Gap（1）惡意軟件植入對物理隔離網(wǎng)絡(luò)目標(biāo)主機(jī)數(shù)據(jù)竊取，不能采取傳統(tǒng)互聯(lián)網(wǎng)通過上傳或下載文件的方法。有效的方法是，借助惡意軟件將敏感信息和文件保存到移動(dòng)存儲(chǔ)介質(zhì)中或遠(yuǎn)程實(shí)時(shí)傳輸。惡意軟件的作用包括搜索目標(biāo)主機(jī)系統(tǒng)信息、敏感文件，根據(jù)遠(yuǎn)程攻擊端指令，建立穩(wěn)定的數(shù)據(jù)傳輸通道。惡意軟件的植入包括軟件的上傳和軟件的觸發(fā)。軟件上傳的關(guān)鍵問題是免殺，即躲避目標(biāo)殺軟系統(tǒng)和入侵檢測系統(tǒng)。文章使用的惡意軟件為client.exe，經(jīng)前期測試，基本不會(huì)被殺軟系統(tǒng)攔截?？衫蒙鐣?huì)工程學(xué)的方法，讓物理隔離網(wǎng)絡(luò)內(nèi)部人員主動(dòng)接觸和下載程序；也可利用BADUSB模擬鍵盤執(zhí)行的方式，將存儲(chǔ)在HID設(shè)備芯片固件中的client.exe觸發(fā)執(zhí)行，并設(shè)置為隨開機(jī)啟動(dòng)，執(zhí)行后無窗口界面，隱蔽運(yùn)行。（2）硬件植入硬件設(shè)備植入的關(guān)鍵是隱蔽性。文章中使用的STM32Ducky本質(zhì)是HID模擬設(shè)備，即采用STM32最小開發(fā)芯片模擬HID設(shè)備；實(shí)際應(yīng)用中，可嵌入目標(biāo)主機(jī)的USB鍵盤、鼠標(biāo)等具有USB接口的設(shè)備中。目標(biāo)主機(jī)對接入的HID設(shè)備無法枚舉為普通的移動(dòng)存儲(chǔ)設(shè)備，也無法對其內(nèi)部閃存上的惡意代碼進(jìn)行檢測，基本上可規(guī)避殺毒軟件和安全策略的檢測。2.2雙向數(shù)據(jù)傳輸技術(shù)：BridgingtheAir-GapBridgingtheAir-Gap，即物理隔離網(wǎng)絡(luò)橋接，實(shí)際上是在遠(yuǎn)程攻擊機(jī)和物理隔離網(wǎng)絡(luò)主機(jī)之間建立一個(gè)穩(wěn)定的C&C通道（即Command命令和Control控制），最終實(shí)現(xiàn)雙向數(shù)據(jù)傳輸。具體內(nèi)容如下：（1）無線網(wǎng)絡(luò)通道的建立無線網(wǎng)絡(luò)通道的建立，采用ESP8266無線傳輸模塊，該模塊集成在STM32芯片上。ESP8266模塊的作用是，使物理隔離網(wǎng)絡(luò)主機(jī)實(shí)現(xiàn)了無線基站拓展。由無線模塊在目標(biāo)機(jī)建立AP（accesspoint）網(wǎng)絡(luò)節(jié)點(diǎn)，并作為服務(wù)器；同時(shí)，遠(yuǎn)端的攻擊機(jī)利用無線網(wǎng)卡主動(dòng)接入目標(biāo)機(jī)的AP網(wǎng)絡(luò)中，從而實(shí)現(xiàn)了無線通道的建立。因此，遠(yuǎn)端攻擊機(jī)進(jìn)行指令控制和數(shù)據(jù)傳輸?shù)木嚯x與無線模塊直接相關(guān)，經(jīng)測試，有效傳輸距離不小于15米。（2）數(shù)據(jù)通道建立和遠(yuǎn)控圖3數(shù)據(jù)通道建立和遠(yuǎn)控過程在無線通道的基礎(chǔ)上，數(shù)據(jù)通道建立依賴四個(gè)程序，分別是目標(biāo)機(jī)上的client.exe、STM32模塊上的stm32.ino、esp8266模塊的esp.ino、攻擊機(jī)上的server.exe。具體實(shí)現(xiàn)過程如下：第一，目標(biāo)機(jī)程序client.execlient.exe程序，可通過社工的方法植入目標(biāo)機(jī)中，并隱蔽運(yùn)行，根據(jù)指令執(zhí)行文件搜索、數(shù)據(jù)回傳等功能。目標(biāo)機(jī)與STM32模塊的交互是通過client.exe完成的，程序功能主要包括STM32Ducky設(shè)備識別、控制指令交互、文件傳輸交互。實(shí)際上，攻擊機(jī)遠(yuǎn)控的shell權(quán)限也是基于client.exe實(shí)現(xiàn)的，client.exe存儲(chǔ)運(yùn)行的位置和權(quán)限，即為攻擊機(jī)遠(yuǎn)控的權(quán)限，攻擊機(jī)遠(yuǎn)控的shell文件目錄即為client.exe所處的路徑。圖3中目標(biāo)機(jī)程序client.exe主要包含hidapi.h、hidclient.cpp。其中hidapi.h是一個(gè)跨平臺的、用于USBHID設(shè)備通信的庫文件，提供了hid設(shè)備識別函數(shù)（包括hid_device_info結(jié)構(gòu)體、hid_enumerate設(shè)備枚舉函數(shù)、hid_open設(shè)備打開函數(shù)等），hid設(shè)備讀寫函數(shù)（包括hid_write()設(shè)備寫、hid_read()設(shè)備讀等）；hidclient.cpp文件調(diào)用hidapi.h，完成設(shè)備識別、遠(yuǎn)程控制和文件傳輸?shù)?。在遠(yuǎn)控指令識別方面，文章將指令類型放在數(shù)據(jù)緩存buffer的第一個(gè)字節(jié)，即buffer[0]，并定義系統(tǒng)控制指令（即DOS環(huán)境中能識別的命令）識別符為0x40，文件傳輸識別符為0x50。client.exe根據(jù)buffer判斷是控制指令還是文件雙向傳輸指令，并作出響應(yīng)。第二，STM32控制程序stm32.inoSTM32Ducky便攜設(shè)備中的STM32模塊是通過USB口直接與目標(biāo)主機(jī)連接的。stm32.ino程序基于ArduinoIDE環(huán)境開發(fā)，通過ST-link或J-link的方式燒錄到STM32開發(fā)板中。stm32.ino程序依賴USBComposite.h庫文件，該庫文件是USBHID設(shè)備兼容庫，在文章中的主要功能是：將STM32模塊USB接口定義為HID設(shè)備，并對設(shè)備描述符、接口描述符、中斷傳輸中端點(diǎn)等進(jìn)行了定義；提供了雙向數(shù)據(jù)傳輸?shù)腁PI接口。STM32模塊和目標(biāo)機(jī)讀寫交互。與client.exe中的hid_write()和hid_read()相對應(yīng)，在stm32.ino中，通過getOutput()和send()函數(shù)與目標(biāo)機(jī)數(shù)據(jù)交互。STM32模塊和ESP8266無線模塊雙向交互。STM32模塊主要負(fù)責(zé)轉(zhuǎn)發(fā)目標(biāo)機(jī)和無線模塊的數(shù)據(jù)。STM32Ducky便攜設(shè)備內(nèi)部，兩個(gè)模塊在物理端口連接的基礎(chǔ)上，通過serial.read()和serial.write()函數(shù)進(jìn)行串口通信。第三，無線基站控制程序esp.inoESP8266模塊建立的無線網(wǎng)絡(luò)AP熱點(diǎn)，是在物理隔離網(wǎng)絡(luò)和遠(yuǎn)控主機(jī)之間主動(dòng)構(gòu)建無線信道的關(guān)鍵。程序基于ArduinoIDE環(huán)境開發(fā)，完成初步的編譯和固件生成，由ESP6266Flasher燒錄程序?qū)⒐碳ㄟ^ST-link燒錄到ESP8266模塊的閃存中。其主要功能是：提供無線網(wǎng)絡(luò)的接入，實(shí)現(xiàn)STM32模塊和攻擊機(jī)的雙向數(shù)據(jù)轉(zhuǎn)發(fā)。ESP8266模塊和攻擊機(jī)的雙向數(shù)據(jù)傳輸。esp.ino程序調(diào)用ESPAsyncTCP.h庫文件，并通過onData()函數(shù)響應(yīng)和接收遠(yuǎn)控端server.exe的數(shù)據(jù)；通過庫文件中的send()函數(shù)將STM32模塊的數(shù)據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)控端server.exe。第四，攻擊端控制程序server.exe攻擊端控制程序server.exe運(yùn)行在遠(yuǎn)程攻擊機(jī)主機(jī)上，借助攻擊機(jī)主機(jī)自帶的無線網(wǎng)卡，按照約定的無線網(wǎng)絡(luò)配置，接入AP網(wǎng)絡(luò)中。程序由Python語言編寫，直接在攻擊機(jī)主機(jī)上運(yùn)行。其主要功能是：接入AP無線網(wǎng)絡(luò)中；主動(dòng)與目標(biāo)機(jī)client.exe建立通信；發(fā)送控制指令到目標(biāo)機(jī)，接收回傳的指令和文件。server.exe在python開發(fā)環(huán)境中，調(diào)用socket庫文件，通過socket.send()和socket.recv()函數(shù)與esp.ino雙向數(shù)據(jù)交互。3雙向數(shù)據(jù)傳輸測試3.1軟硬件設(shè)備植入測試圖4STM32Ducky便攜設(shè)備圖4是設(shè)計(jì)的STM32Ducky便攜設(shè)備，可根據(jù)需要對其加殼封裝成“U盤”、數(shù)據(jù)線等設(shè)備。當(dāng)便攜設(shè)備植入目標(biāo)機(jī)后，通過目標(biāo)機(jī)設(shè)備管理器查看，如圖5所示，僅識別為“符合HID標(biāo)準(zhǔn)的供應(yīng)商設(shè)備”。圖5設(shè)備管理器中識別為HID植入目標(biāo)機(jī)的軟件client.exe如圖6所示，在建立連接和數(shù)據(jù)傳輸過程中，沒有任何代碼和指令顯示，實(shí)際應(yīng)用中，可根據(jù)需要將client.exe控制臺程序隱藏。圖6client植入軟件3.2數(shù)據(jù)測試在client.exe運(yùn)行、便攜設(shè)備植入、攻擊機(jī)通過server.exe主動(dòng)與目標(biāo)機(jī)建立連接的整體過程中，目標(biāo)機(jī)殺軟系統(tǒng)不報(bào)毒。如圖7所示，在攻擊機(jī)的server.exe中輸入cmddir命令，查看目標(biāo)機(jī)client所在位置和目錄文件。通過命令getfile11.txt將目標(biāo)機(jī)的11.txt文件下載到攻擊機(jī)計(jì)算機(jī)，下載過程中，攻擊機(jī)顯示文件傳輸實(shí)時(shí)進(jìn)程。圖7控制指令和文件傳輸測試圖8中，通過cmdnetstat-ano命令，可以查看目標(biāo)機(jī)當(dāng)前端口連接狀態(tài)，沒有發(fā)現(xiàn)任何基于TCP/UDP的端口連接狀態(tài)，這是由于STM32Ducky與目標(biāo)機(jī)通過USBHID協(xié)議數(shù)據(jù)交互，無需建立socket，這使得整個(gè)雙向控制過程較為隱蔽和安全。圖8查看目標(biāo)機(jī)端口狀態(tài)如圖9所示，在指令控制和數(shù)據(jù)傳輸過程中，攻擊機(jī)通過命令netstat-ano查看本機(jī)端口連接狀態(tài)，僅有192.168.4.2(2523)-192.168.4.1(7050)鏈路，即攻擊機(jī)與ESP8266無線網(wǎng)絡(luò)的連接。圖9查看本機(jī)端口連接狀態(tài)總體來看，STM32Ducky雙向數(shù)據(jù)傳輸隱蔽安全，直接獲取了目標(biāo)機(jī)的shell權(quán)限，傳輸文件較為穩(wěn)定。不同于BADUSB等傳統(tǒng)攻擊設(shè)備，其在目標(biāo)機(jī)鎖屏情況下，無法進(jìn)行模擬鍵盤攻擊；而STM32Ducky基于USBHID協(xié)議傳輸，非模擬鍵盤攻擊，一旦鏈路建立成功，即使目標(biāo)機(jī)鎖屏，仍然能夠隱蔽、穩(wěn)定地實(shí)現(xiàn)指令控制和雙向數(shù)據(jù)傳輸。3.3重難點(diǎn)問題（1）傳輸速率STM32Ducky在HID讀寫過程中，采用HID中斷傳輸方式，端點(diǎn)1為in，中斷輸入，即hid設(shè)備到目標(biāo)機(jī)，中斷輸出和控制端點(diǎn)均為端點(diǎn)0。中斷傳輸最小時(shí)間間隔1ms，每一個(gè)單獨(dú)的事務(wù)處理能力為wMaxPacketSize=8字節(jié)，則讀寫速率為8×（1s/0.001s），即8kB/s。實(shí)際測試中，除去雙向傳輸中用于協(xié)議控制的額外消耗，雙向傳輸實(shí)際速率約為1.5-2.5kB/s。（2）傳輸穩(wěn)定性控制影響數(shù)據(jù)雙向傳輸穩(wěn)定性的主要因素是硬件緩存速率的不匹配。目標(biāo)機(jī)USB接口的速率遠(yuǎn)大于HID緩存速率，HID緩存速率也明顯低于ESP8266無線網(wǎng)絡(luò)速率處理能力。因此，緩存速率的不同會(huì)造成數(shù)據(jù)傳輸?shù)牟环€(wěn)定性。解決數(shù)據(jù)傳輸穩(wěn)定性的一種做法是數(shù)據(jù)分段校驗(yàn)。如超過2kB的文件傳輸時(shí)，可在client.exe和stm32.ino程序模塊中，每512個(gè)字節(jié)校驗(yàn)一次；由stm32.ino發(fā)出停止傳輸請求，client.exe收到請求后停止發(fā)送，stm32.ino收到停止校驗(yàn)符后，