主页  >  举报指南  |  法律法规  |  温馨提示  |  曝光台  |  报警查询  |  我要报警
网络与信息安全情况通报-2017年第24期
2017年8月26日    |   阅读:577   |   录入:btq
 
   
 

 

关于突破物理隔离木马及应对措施的通报

 

通过Nero等刻录软件刻录CD/DVD光盘,是当前我国涉密网与非涉密网、内网与互联网进行信息交换的常用手段。近日,维基揭秘网站曝光了美国中央情报局黑客部队用于突破物理隔离的木马--“凿岩机”(HammerDrill),该木马是一款CD/DVD信息收集工具,它能够收集受感染计算机读取的CDDVD的内容并保存到指定的文件中,还能够记录CD/DVD插入和弹出的历史。HammerDrill 2.0版本还增加了以下新功能:一是增加了跨越隔离的能力,即在Nero软件向光盘中刻录32位的可执行程序文件时,向这些文件中注入Shellcode(一种黑客用于攻击的代码片段);二是增加了状态检查、结束木马程序执行和按需收集信息的能力;三是增加了光盘识别能力,即通过对ISO文件头部的两个数据块进行哈希(hash)来采集光盘的指纹特征,即使在多重区段光盘(Multi-sessions Disc)中添加和删除数据,也能唯一标识这张光盘;四是增加了攻击识别能力,即当在光盘中发现被HammerDrill破坏过的可执行程序时,能够记录下这一事件。该款工具属于机密级,禁止外籍人员知悉。

HammerDrill突破物理隔离是以光盘为介质实现的。当用户通过Nero软件向光盘中刻录可执行程序文件时,HammerDrill能够向这些文件中注入一段Shellcode。当光盘插入到其他计算机并运行光盘中的可执行程序时,被插入的Shellcode就会自动运行,该Shellcode的主要功能是从指定的URL下载文件,但曝光的文件并没有披露该URL的地址。

作为此次被曝光的中央情报局网络武器之一,HammerDrill具有三大危害:一是HammerDrill具有突破物理隔离的能力。此前的木马主要以U盘为介质突破物理隔离。因此,保密规定要求涉密计算机和非涉密计算机间严禁交叉使用U盘等大容量存储介质,进行数据交换时通常采用光盘刻录等手段。从此次披露的资料来看,虽然HammerDrill还不能直接将窃取的数据刻录到光盘中,但是已经存在突破物理隔离、传播Shellcode的能力。二是HammerDrill能够记录光盘的内容和光盘插入/弹出事件,并将这些信息保存到计算机中指定的文件里。在互联网环境下,攻击者不仅能够获得计算机当前存储的信息,还能够获得光盘内存储的文件信息。同时,HammerDrill注入的Shellcode还能够通过网络下载指定的文件,如果下载的文件是木马等恶意程序,还将造成更大的危害。涉密网、内网中的计算机一旦发生违规外联,可能会造成较为严重的危害。三是HammerDrill所影响的范围难以追踪,注入的Shellcode也难以清除。操作系统能够记录U盘插拔事件,但是通常无法记录光盘插入/弹出事件,当计算机被发现感染后,很难确定因光盘刻录而影响的其他计算机的范围。同时,办公环境中使用的刻录光盘通常都是只读的,即使杀毒软件能够检测到光盘中的程序文件存在Shellcode,也无法直接清除这些恶意代码。

Nero是当前我国涉密网络、内网中常用的刻录软件之一,如果攻击者利用Nero突破物理隔离,造成的后果将不可估量。为确保安全,云南省网络与信息安全信息通报中心提出以下应对措施:一是对计算机进行检查,HammerDrill的特征主要有存在HammerDrillStatus.dllHammerDrillKiller.dllHammerDrillCollector.dll等动态链接库文件,调用UrlDownloadToCacheFileA接口等。二是针对HammerDrill所具有的通过Nero刻录软件向刻录的程序文件中注入Shellcode的功能,可以采取一些规避手段,例如,使用除Nero外的其他刻录软件进行刻录,也可以对刻录到光盘中的文件进行完整性校验,利用第三方hash工具计算光盘中文件的MD5SHA1SHA256值,并与原始文件比对是否一致,禁止不一致的文件运行。三是针对HammerDrill向程序中注入的Shellcode,可以在计算机或交换机中采集网络数据流,检查是否有可疑的URLIP访问请求,对发现的可疑访问请求进行分析并采取必要的措施进行处置。四是严禁在互联网计算机中读写刻录有敏感文件的光盘。

本通报根据国家保密科技测评中心邢彬、何建波在《保密科学与技术》上的文章整理而成。




 
主页    |    举报指南   |   法律法规    |    温馨提示    |     曝光台    |    报警查询    |   联系我们
CopyRight © 2013 云南省公安厅网络安全保卫总队 版权所有
昆明固得派信息技术有限公司   技术支持
(建议使用IE8.0以上版本浏览器)
其它浏览器请设置在兼容模式使用