韩国研究人员开发了一系列针对某些固态驱动器 (SSD) 的攻击,这些攻击可能允许将恶意软件植入用户和安全解决方案无法触及的位置。
攻击模型针对具有灵活容量功能的驱动器,并针对设备上称为过度配置的隐藏区域,如今 SSD 制造商广泛使用该区域来优化基于 NAND 闪存的存储系统的性能。
硬件级攻击提供终极持久性和隐蔽性。过去,老练的攻击者努力实施针对 HDD 的此类概念 ,将恶意代码隐藏在无法访问的磁盘扇区中。
弹性容量的工作原理
弹性容量是美光科技 SSD 中的一项功能,它使存储设备能够自动调整原始空间和用户分配空间的大小,通过吸收写入工作负载量来实现更好的性能。
它是一个动态系统,可以创建和调整称为过度配置的空间缓冲区,通常占用总磁盘容量的 7% 到 25%。
操作系统和在其上运行的任何应用程序(包括安全解决方案和防病毒工具)都无法看到超额配置区域。
当用户启动不同的应用程序时,SSD 管理器会根据工作负载自动调整此空间,具体取决于它们的写入或读取密集程度。
攻击模型
首尔高丽大学的研究人员模拟的一种攻击针对的是一个无效数据区域,该区域具有位于可用 SSD 空间和预留空间 (OP) 区域之间的未擦除信息,其大小取决于两者。
该研究论文解释说,黑客可以通过使用固件管理器来更改 OP 区域的大小,从而产生可利用的无效数据空间。
这里的问题是很多SSD厂商为了节省资源,选择不擦除无效数据区。在假设断开映射表的链接足以防止未经授权的访问的情况下,该空间会在很长一段时间内保持充满数据。
因此,利用此弱点的威胁行为者可以访问潜在的敏感信息。
该研究人员指出,关于NAND闪存“法医”活动可以发现,至今尚未超过六个月被删除的数据。
在第二种攻击模型中,OP 区域被用作用户无法监控或擦除的秘密位置,威胁参与者可以在其中隐藏恶意软件。
论文将这种攻击描述如下:
为了简化描述,假设两个存储设备SSD1和SSD2连接到一个通道。每个存储设备都有 50% 的 OP 区域。黑客将恶意代码存储到SSD2后,立即将SSD1的OP面积缩小到25%,将SSD2的OP面积扩大到75%。
此时,恶意软件代码包含在SSD2的隐藏区域中。获得 SSD 访问权限的黑客可以随时通过调整 OP 区域的大小来激活嵌入的恶意软件代码。由于普通用户在频道上保持100%的用户区域,因此黑客的这种恶意行为并不容易被发现。
这种攻击的明显优势在于它是隐蔽的。在 OP 区域检测恶意代码不仅耗时,而且需要高度专业化的取证技术。
对策
作为对第一种攻击的防御,研究人员建议 SSD 制造商使用不会影响实时性能的伪擦除算法擦除 OP 区域。
对于第二种攻击,防止在 OP 区域注入恶意软件的潜在有效安全措施是实施有效-无效数据速率监控系统,实时观察 SSD 内部的比率。
当无效数据比例突然显着增加时,用户可以得到警告并在OP空间中选择可验证的数据擦除功能。
最后,对 SSD 管理应用程序的访问应该对未经授权的访问具有强大的防御能力。
“即使您不是恶意黑客,被误导的员工也可以随时通过使用 OP 区域变量固件/软件轻松释放隐藏信息并泄漏它”——研究人员解释说。
Bleeping Computer 已联系 Micron,要求对上述内容发表评论,我们将在收到回复后更新此故事。
虽然研究表明美光 SSD 上的 OP 区域可用于存储恶意软件,但目前不太可能在野外发生此类攻击。(文章来源:安服信息服务平台)