条目标记为“气囊”

第1页共2页

Ramsay恶意软件

一种称为Ramsay的新恶意软件可以跳空空隙

ESET表示,他们能够追踪三种不同版本的Ramsay恶意软件,其中一种于2019年9月(Ramsay V1)和2020年3月下旬的另外两个版本(Ramsay v2.A和V2.B)。

Each version was different and infected victims through different methods, but at its core, the malware’s primary role was to scan an infected computer, and gather Word, PDF, and ZIP documents in a hidden storage folder, ready to be exfiltrated at a later date.

其他版本还包括一个播放器模块,该模块将Ramsay恶意软件的副本附加到可移动驱动器和网络共享上的所有PE(便携式可执行文件)文件中。据信这是恶意软件采用的机制来跳高气隙并达到孤立的网络,因为用户很可能会在公司的不同网络层之间移动受感染的可执行文件,并最终进入孤立的系统。

ESET表示,在研究期间,它无法积极地识别Ramsay的渗透模块,也无法确定Ramsay运营商如何从空调系统中检索数据。

老实说,我想不出任何想要这种特征的威胁行为者:

研究人员没有正式归因,因为谁可能是拉姆齐的落后者。但是,Sanmillan说,恶意软件包含大量与Retro的共享人工制品,Retro是一种以前开发的恶意软件应变Darkhotel,许多人认为符合韩国政府利益的黑客团体。

似乎很可能。

细节

发表于2020年5月18日上午6:15查看评论

跳空空白

好的轮廓Mordechai Guri,他研究了各种巧妙的方法来窃取数据的计算机。

例如它的内部风扇会产生噪音, 经过接收计算机可以通过热传感器检测到的模式的空气温度变化,甚至是从计算机硬盘驱动器中眨眼到一系列信息,导致四肢无人机悬停在附近窗外的镜头上。在今天发布的新研究中,本·古里昂(Ben-Gurion)团队甚至表明,他们可以从不仅受气隙保护的计算机上取下数据,而且还可以将旨在阻止所有无线电信号的法拉第笼子保护。

这是一个所有研究结果。

Boingboing邮政

发表于2018年2月13日上午6:26查看评论

蓝牙漏洞

一个报道了蓝牙漏洞,有些非常讨厌。

由于其运作的媒介,蓝胎关心我们。与当今依赖互联网的大多数攻击不同,蓝载攻击在空中传播。这与最近在Broadcom Wi-Fi芯片中发现的两个较广泛的漏洞相似。项目零出埃及记。Wi-Fi芯片中发现的漏洞仅影响设备的外围设备,并需要另一个步骤来控制设备。凭借蓝晶,攻击者可以从一开始就可以完全控制。此外,蓝牙提供了比WiFi更广泛的攻击者表面,几乎完全没有研究社区探索,因此包含更多的脆弱性。

不幸的是,空中攻击为攻击者提供了许多机会。首先,通过空气传播会使攻击更具传染性,并使其能够以最小的努力传播。其次,它允许攻击绕过当前的安全措施并保持未被发现,因为传统方法不能防止空中威胁。空中攻击还可以使黑客可以穿透“空气隔开”的安全内部网络,这意味着它们与任何其他网络都断开了保护。这可能危害工业系统,政府机构和关键基础设施。

最后,与传统的恶意软件或攻击不同,用户不必单击链接或下载可疑文件。用户无需采取任何行动来启用攻击。

完全修补的窗口和iOS系统受到保护;Linux即将推出。

发表于2017年9月18日上午6:58查看评论

用激光和扫描仪跳动气门

研究人员有配置两台使用激光和扫描仪相互交谈的计算机。

扫描仪通过检测玻璃窗格上的反射光线来工作。灯产生了扫描仪转换为二进制的电荷,该电荷被转换为图像。但是,扫描仪对房间中的任何光变化(即使纸张在玻璃窗格上或光源被红外线)敏感 - 这会改变转换为二进制的电荷。这意味着可以通过使用可见光源或人眼看不见的红外激光器在其玻璃窗格的玻璃窗格上闪光灯来通过扫描仪发送信号。

攻击有几个警告 - 对信号进行解码的恶意软件必须已经安装在网络上的系统上,扫描仪上的盖子必须至少部分打开才能接收光。但是,工人使用扫描仪的盖子在使用后不寻常,而且攻击者也可以支付清洁人员或其他工人在晚上打开盖子。

设置是计算机上连接到扫描仪上的恶意软件,并且该计算机不在互联网上。该技术使攻击者可以与该计算机进行通信。为了额外的冷却,激光可以安装在无人机上。

这是。和视频

发表于2017年4月28日下午12:48查看评论

然而其他政府赞助的恶意软件

两个都卡巴斯基Symantec发现了另一个似乎是政府设计的恶意软件:

该恶意软件(替代地称为Kaspersky Lab的研究人员和Symantec的同行的“ Remsec”)的恶意软件至少从2011年开始就很活跃,并已在30个左右的目标上发现。它在五年内未被发现的能力证明了其创作者,他们清楚地研究了其他国家赞助的黑客黑客群体,以试图复制他们的进步并避免错误。

[…]

使Projectsauron如此令人印象深刻的部分原因是它可以从运营商认为没有互联网连接的计算机中收集数据。为此,恶意软件使用特殊准备的USB存储驱动器,该驱动器具有Windows操作系统无法查看的虚拟文件系统。对于感染的计算机,可移动的驱动器似乎是批准的设备,但是幕后是数百兆字节,用于存储保存在“气相”机器上的数据。该安排甚至与计算机有关,在该计算机中,预防数据损失软件阻止了未知USB驱动器的使用。

卡巴斯基的研究人员仍然不确定启用USB的渗透方式。看不见的存储区域的存在本身并不能允许攻击者抓住对气动计算机的控制。研究人员怀疑该功能仅在极少数情况下使用,并且需要使用尚未发现的零日利用。总的来说,Sauron项目由至少50个模块组成,可以混合并匹配以适合每个人感染的目标。

卡巴斯基研究人员在一份研究人员中写道:“安装后,主要项目Sauron模块开始用作'卧铺细胞',不显示自己的活动,并在即将到来的网络流量中等待'唤醒'命令。”单独的博客文章。“这种操作方法可确保索伦项目对目标组织的服务器的扩展持久性。”

我们不知道是谁设计的,但似乎很可能是一个拥有严重网络预算的国家。

编辑为添加(8/15):Nicholas Weaver评论在恶意软件及其含义上。

发表于2016年8月15日下午1:43查看评论

与多合一打印机跳动空气间隙

上周,阿迪·沙米尔(Adi Shamir)给了介绍在Black Hat Europe上使用多合一打印机来控制气隙另一侧的计算机。还没有纸,但是出版物在演讲中报告:

从理论上讲,如果毫无戒心的用户通过USB拇指驱动器安装了恶意程序,则攻击者应该很难控制恶意程序或通过它窃取数据,因为没有互联网连接。

但是研究人员发现,如果将多功能打印机附加到此类计算机上,攻击者可以通过在打开时在扫描仪盖上闪烁可见光或红外线来向其在其上运行的恶意程序发出命令。

[…]

研究人员观察到,如果在扫描操作过程中反复将光源指向扫描仪盖子内部的白色涂层,则最终的图像将在较深的背景上具有一系列白线。Shamir解释说,这些线对应于撞击盖的光的脉冲,其厚度取决于脉冲的持续时间。

使用此观察结果,研究人员开发了摩尔斯密码,可用于以不同的间隔发送光脉冲,并将结果线解释为二进制data1和0s。可以对在气动系统上运行的恶意软件进行编程以在某个时间(例如在夜间)启动扫描操作,然后解释攻击者使用远方技术发送的命令。

Shamir估计在一次扫描过程中可以发送数百位数据。这足以发送可以激活恶意软件内置的各种功能的小命令。

该技术可用于将命令发送到气动的计算机网络中,并从该网络中渗透数据。

发表于2014年10月22日下午2:17查看评论

BadBios

好故事BadBios,这是一个非常讨厌的恶意软件。最奇怪的部分是它如何使用超声波声跳动空气间隙。

鲁伊说,他在观察到没有明显的网络连接的受感染机器的加密数据包后,就达到了有关Badbios高频网络能力的理论,但与另一台受BadBios感染的计算机非常接近。即使其中一台机器的Wi-Fi和蓝牙卡已删除,这些数据包也会传输。Ruiu还断开了机器的电源线,以排除其在电气连接上收到信号的可能性。即使那样,法医工具仍显示包数据包继续流过气炉的机器。然后,当Ruiu卸下内部扬声器和麦克风连接到气挡的机器时,数据包突然停止了。

Ruiu说,由于扬声器和MIC完好无损,孤立的计算机似乎正在使用高频连接来维持BadBios感染的完整性,因为他致力于拆除恶意软件所依赖的软件组件。

他说:“气挡的机器的作用就像它连接到互联网。”“我们遇到的大多数问题是我们略微禁用了系统组件的部分。它不会让我们禁用一些东西。一旦我们试图打破它们,事情就会不断自动固定。很奇怪。”

我不确定该怎么做。当我第一次阅读时,我认为这是一个骗局。但是,我认为这是一个真实的故事。我不知道事实是真实的,而且我还没有看到任何恶意软件的实际作用。

其他讨论

编辑以添加:更多的讨论

编辑为添加(11/14):揭穿

发表于2013年11月4日上午6:15查看评论

气隙

自从我开始使用Snowden的文件以来,我一直在使用许多工具来试图从NSA中保持安全。建议我共享包括使用TOR,更喜欢某些密码,而不是其他密码,并尽可能使用公共域加密。

我也建议使用气隙,从Internet物理地将计算机网络或本地计算机网络隔离。(名称来自计算机和Internet之间的字面空气差距;该词早于无线网络。)

但这比听起来更复杂,需要解释。必威体育登陆网址

由于我们知道连接到Internet的计算机容易受到外部黑客攻击,因此气隙应防止这些攻击。有许多系统使用(或应该使用)空气间隙:机密军事网络,核电站控制,医疗设备,航空电子产品等。

乌萨马·本·拉登(Osama bin Laden)用过的一。我希望压制性国家的人权组织也这样做。

气隙在概念上可能很简单,但是在实践中很难维护。事实是,没有人想要一台从未从Internet接收文件并且从未将文件发送到Internet的计算机。他们想要的是一台未直接连接到Internet的计算机,尽管它具有某种安全的开关文件的安全方式。

但是,每当文件向后移动时,都有攻击的可能性。

和气隙被违反了。Stuxnet是美国和以色列军事级恶意软件,袭击了伊朗的纳坦兹核电站。它成功地跳了气隙并渗透了Natanz网络。另一个恶意软件代理商btz,可能是中国的起源,成功地跳到了保护美国军事网络的气隙。

这些攻击是通过利用用于可移动媒体的安全漏洞来运输的,用于传输气动计算机的安全性漏洞。

自从使用Snowden的NSA文件工作以来,我一直试图维护一台气动计算机。事实证明,这比我预期的要难,我有十个试图做同样的人的规则:

  1. 设置计算机时,将其连接到Internet尽可能少。不可能完全避免将计算机连接到Internet,但尝试一次并尽可能匿名地配置它。我在一家大型商店中购买了计算机,然后去了一个朋友的网络,并下载了我在一次会话中所需的所有内容。(执行此操作的超顺生方式是购买两台相同的计算机,使用上述方法配置一台计算机,将结果上传到基于云的反病毒检查器,然后转移结果使用单向过程到气隙机。)

  2. 安装您完成工作所需的最低软件集,并禁用所有不需要的操作系统服务。您安装的软件越少,攻击者可以利用攻击者就越少。我下载并安装了OpenOffice,PDF阅读器,文本编辑器,TrueCrypt, 和漂白剂。就这样。(No, I don’t have any inside knowledge about TrueCrypt, and there’s a lot about it that makes me suspicious. But for Windows full-disk encryption it’s that, Microsoft’s BitLocker, or Symantec’s PGPDisk — and I am more worried about large US corporations being pressured by the NSA than I am about TrueCrypt.)

  3. 配置计算机后,切勿直接将其连接到Internet。考虑实际禁用无线功能,因此不会偶然打开。

  4. 如果您需要安装新软件,请从随机网络匿名下载它,将其放在一些可移动的媒体上,然后手动将其传输到气动计算机。这绝不是完美的,但这是一种试图使攻击者更难针对您的计算机的尝试。

  5. 关闭所有自动运行功能。对于您拥有的所有计算机来说,这应该是标准练习,但对于气动计算机来说尤其重要。Agent.BTZ使用Autorun感染了美国军事计算机。

  6. 最大程度地减少您移动到气动计算机上的可执行代码量。文本文件最好。Microsoft Office文件和PDF更危险,因为它们可能已经嵌入了宏。关闭您可以在气动计算机上使用的所有宏功能。不必太担心修补系统;通常,可执行代码的风险比没有最新补丁的风险更糟糕。毕竟,您不在互联网上。

  7. 仅使用受信任的媒体将文件移动和关闭气动计算机。您从商店购买的USB棍子比您不认识的人或一个您的人更安全寻找在停车场。

  8. 对于文件传输,可写的光盘(CD或DVD)比USB棒安全。恶意软件可以将数据静静地写入USB棒,但是如果您注意到,它不能将CD-R旋转到1000 rpm。这意味着恶意软件只能在写入磁盘时写入磁盘。您还可以通过实际检查其背面来验证CD写了多少数据。如果您只写了一个文件,但是看起来CD的四分之三被烧毁了,那么您有问题。注意:第一家用指示写作操作的灯销售USB棒的公司 - 不阅读或者写;我有其中之一 - 赢得奖品。

  9. 在开机和关闭气动计算机上移动文件时,请使用绝对最小的存储设备。并用随机文件填充整个设备。如果损害了空调的计算机,则恶意软件将尝试使用该媒体将数据偷偷溜走。尽管恶意软件可以轻松地隐藏被盗的文件,但它不能破坏物理定律。因此,如果您使用微小的传输设备,一次只能窃取非常少量的数据。如果您使用大型设备,则可以花费更多。商务卡大小迷你CD容量低至30 MB。我仍然看到1 GB USB棍棒出售。

  10. 考虑加密您在气动计算机上和开发的所有内容。有时您会移动公共文件,这没关系,但是有时您不会,而且会。而且,如果您使用的是光学介质,那么这些磁盘将无法删除。强大的加密解决了这些问题。而且不要忘记也加密计算机;全盘加密是最好的。

我没有做的一件事,尽管值得考虑,但是使用像尾巴。您可以使用持久音量配置尾巴来保存数据,但是没有保存操作系统更改。从只读的DVD启动尾巴(您可以将数据保存在加密的USB棒上)更加安全。当然,这不是万无一失的,但是它大大减少了潜在的攻击途径。

是的,所有这些都是对偏执狂的建议。而且,对于与单个用户相比,对于任何更复杂的网络可能不可能执行。但是,如果您正在考虑设置一台气动计算机,那么您已经相信一些非常强大的攻击者是您个人的追随者。如果您要使用气隙,请正确使用它。

当然,您可以将事情进一步。我遇到了那些完全删除相机,麦克风和无线功能的人。但这对我来说太多了。

这篇文章以前出现在wired.com上。

编辑为添加:是的,我忽略了暴风雨攻击。我也忽略了对我家的黑袋攻击。

发表于2013年10月11日上午6:45查看评论

必威官方开户

Baidu