2018-01-10

關于突破物理隔離木馬及應對措施的通報

 

通過Nero等刻錄軟件刻錄CD/DVD光盤,是當前我國涉密網與非涉密網、內網與互聯網進行信息交換的常用手段。近日,維基揭秘網站曝光了美國中央情報局黑客部隊用于突破物理隔離的木馬--“鑿巖機”(HammerDrill),該木馬是一款CD/DVD信息收集工具,它能夠收集受感染計算機讀取的CDDVD的內容并保存到指定的文件中,還能夠記錄CD/DVD插入和彈出的歷史。HammerDrill 2.0版本還增加了以下新功能:一是增加了跨越隔離的能力,即在Nero軟件向光盤中刻錄32位的可執行程序文件時,向這些文件中注入Shellcode(一種黑客用于攻擊的代碼片段);二是增加了狀態檢查、結束木馬程序執行和按需收集信息的能力;三是增加了光盤識別能力,即通過對ISO文件頭部的兩個數據塊進行哈希(hash)來采集光盤的指紋特征,即使在多重區段光盤(Multi-sessions Disc)中添加和刪除數據,也能唯一標識這張光盤;四是增加了攻擊識別能力,即當在光盤中發現被HammerDrill破壞過的可執行程序時,能夠記錄下這一事件。該款工具屬于機密級,禁止外籍人員知悉。

HammerDrill突破物理隔離是以光盤為介質實現的。當用戶通過Nero軟件向光盤中刻錄可執行程序文件時,HammerDrill能夠向這些文件中注入一段Shellcode。當光盤插入到其他計算機并運行光盤中的可執行程序時,被插入的Shellcode就會自動運行,該Shellcode的主要功能是從指定的URL下載文件,但曝光的文件并沒有披露該URL的地址。

作為此次被曝光的中央情報局網絡武器之一,HammerDrill具有三大危害:一是HammerDrill具有突破物理隔離的能力。此前的木馬主要以U盤為介質突破物理隔離。因此,保密規定要求涉密計算機和非涉密計算機間嚴禁交叉使用U盤等大容量存儲介質,進行數據交換時通常采用光盤刻錄等手段。從此次披露的資料來看,雖然HammerDrill還不能直接將竊取的數據刻錄到光盤中,但是已經存在突破物理隔離、傳播Shellcode的能力。二是HammerDrill能夠記錄光盤的內容和光盤插入/彈出事件,并將這些信息保存到計算機中指定的文件里。在互聯網環境下,攻擊者不僅能夠獲得計算機當前存儲的信息,還能夠獲得光盤內存儲的文件信息。同時,HammerDrill注入的Shellcode還能夠通過網絡下載指定的文件,如果下載的文件是木馬等惡意程序,還將造成更大的危害。涉密網、內網中的計算機一旦發生違規外聯,可能會造成較為嚴重的危害。三是HammerDrill所影響的范圍難以追蹤,注入的Shellcode也難以清除。操作系統能夠記錄U盤插拔事件,但是通常無法記錄光盤插入/彈出事件,當計算機被發現感染后,很難確定因光盤刻錄而影響的其他計算機的范圍。同時,辦公環境中使用的刻錄光盤通常都是只讀的,即使殺毒軟件能夠檢測到光盤中的程序文件存在Shellcode,也無法直接清除這些惡意代碼。

Nero是當前我國涉密網絡、內網中常用的刻錄軟件之一,如果攻擊者利用Nero突破物理隔離,造成的后果將不可估量。為確保安全,云南省網絡與信息安全信息通報中心提出以下應對措施:一是對計算機進行檢查,HammerDrill的特征主要有存在HammerDrillStatus.dllHammerDrillKiller.dllHammerDrillCollector.dll等動態鏈接庫文件,調用UrlDownloadToCacheFileA接口等。二是針對HammerDrill所具有的通過Nero刻錄軟件向刻錄的程序文件中注入Shellcode的功能,可以采取一些規避手段,例如,使用除Nero外的其他刻錄軟件進行刻錄,也可以對刻錄到光盤中的文件進行完整性校驗,利用第三方hash工具計算光盤中文件的MD5SHA1SHA256值,并與原始文件比對是否一致,禁止不一致的文件運行。三是針對HammerDrill向程序中注入的Shellcode,可以在計算機或交換機中采集網絡數據流,檢查是否有可疑的URLIP訪問請求,對發現的可疑訪問請求進行分析并采取必要的措施進行處置。四是嚴禁在互聯網計算機中讀寫刻錄有敏感文件的光盤。

本通報根據國家保密科技測評中心邢彬、何建波在《保密科學與技術》上的文章整理而成。

  • 云南省公安廳網絡安全保衛總隊 版權所有 Copyright 2009~2018
  • 云南省昆明市五華區五一路149號 郵政編碼:650021
  • 技術支持:昆明固得派信息技術有限公司
  • 建議使用 IE 5.0 以上版本瀏覽器 1024×768分辨率
  • 滇ICP備05002699號
北京pk10高手经验分享