一、前言

一直以來，關于網絡安全存在這樣一個理念，互聯網受制于體系、架構以及各種復雜環境因素的影響，存在太多的不安全因素，是一個不可信的環境，為此各種不同用戶極盡全力營造一個封閉的專用或私有“內網”，邏輯方式的虛擬專網 VPN、實體方式的物理隔離內網。

內網—特別是物理隔離的內網其安全體系與外網安全體系相比，可以做得更加全面和細致，它可以采用各種技術手段和行政管理措施來進行強監管、強認證、強加密，確保其萬無一失。事實果真如此嗎?

2021 年 4 月 10 日，伊朗總統魯哈尼在伊朗核技術日線上紀念活動上下令啟動納坦茲核設施內的近 200 臺 IR-6 型離心機，開始生產濃縮鈾(IR-6型離心機生產濃縮鈾的效率是第一代 IR- 1 型的 10 倍，而就在開始生產濃縮鈾后， 伊朗納坦茲核設施的配電系統就在第二天(4 月11 日)發生故障。該次事故是以色列摩薩德是對伊朗伊朗納坦茲核設施進行的網絡攻擊的結果，物理隔離的核設施內網被一舉攻下導致了該次斷電。

二、針對物理隔離內網的典型攻擊事件

網絡隔離技術分為物理隔離和邏輯隔離，物理隔離就是將兩個網絡物理上互不連接，物理隔離需要做兩套或者幾套網絡，一般分為內、外網。

物理隔離的網絡通常出現在政府機構、大型企業以及軍事部門中，它們通常存儲著保密的文件或重要隱私及數據。攻克物理隔離網絡通常被視為安全漏洞的圣杯，因為破壞或滲透物理隔離系統的難度極大。

內網隔離于外界網絡,不僅是系統/企業/單位/部門最核心的部分, 同時也是黑客攻擊的最終目標。一直以來，我們都認為借助物理層面的網絡隔離，在理想情況下可以有效地阻斷傳統的基于網絡路由可達的網絡攻擊、確保隔離內網的環境的安全穩定，只要集中精力做好內部網絡管控即可。

然而， 從 2010 年 6 月的“震網”事件開始徹底顛覆了我們的傳統認知。“震網”病毒被稱為有史以來最復雜的網絡武器，讓我們大開眼界。它使用了4 個Windows 0day 漏洞，成功地被用于攻擊伊朗的封閉網絡中的核設施工控設備，讓全世界認識到了物理隔離內網并不安全。

CSI、FBI 曾經對全球曾經遭受過網絡安全問題的 484 家公司進行過網絡安全專項調查，調查顯示出有超過 5%的公司隔離內網遭到過外部黑客的攻擊和破壞。

近年來，最著名的幾起針對物理隔離網絡的攻擊事件：

1. DarkHotel-Ramsay

2020 年 5 月，國外安全機構ESET發現了一款名為Ramsay 的攻擊組件，該組件具備隔離網絡攻擊能力，經關聯分析，該組件為Darkhotel 組織所有，至今已存在多個迭代版本。Ramsay 組件為攜帶蠕蟲模塊的打包器程序，通過 USB 移動存儲設備進行互聯網主機與隔離網絡主機之間的信息擺渡，最終實現內網滲透、文件竊密、惡意模塊執行、 shell 執行等功能。

2. DarkHotel-Asruex

Asruex 是一款附帶蠕蟲感染能力的后門類型木馬，該木馬最早于 2015年因被關聯到 Darkhotel APT 組織而被公眾熟悉， Darkhotel 組織在針對中日國家特定從業人員的定向攻擊中曾使用了該木馬。 Asruex 最開始被披露時，人們關注的重點為它的 PC 主機信息收集功能和后門執行功能， 它的文件感染能力并沒有深入分析。直到后續趨勢科技的惡意代碼研究人員在總結分析 Asruex 木馬時，才發現其強大的蠕蟲感染能力。通過對感染模塊的深入分析，證實了 Asruex 木馬具備借助 USB 擺渡實現人力傳播的能力。

到現在為止，我們能確定的只是 Asruex 木馬具備信息收集、后門執行、USB 存儲設備中文件感染的能力。其對于隔離網絡環境的攻擊只是我們的猜測，如果比對嚴格的隔離網攻擊事件的話，其缺少明顯的環境探測環節以及可能會涉及的擺渡信息交互環節。當然該木馬的后門功能部分可以在互聯網 PC 機器上通過 C&C 端下發組件去完善這些缺失的功能，所以基于已有的分析研究我們可以初步判定Darkhotel組織的Asruex木馬具備初步的隔離網攻擊結構。

3. Stuxnet

如果說前面兩個攻擊事件只是初步具備隔離網攻擊能力， 那么震網攻擊事件中的 Stuxnet 蠕蟲絕對是教科書級別的專業隔離網絡攻擊武器。 Stuxnet蠕蟲于 2010 年被國內外多家安全機構披露， 雖然至今已過去十年時間，但是其放在今天依然是核彈級別的網絡武器。

2010 年 6 月， 美方所發起的該起攻擊事件是一起出于軍事打擊的摧毀核建設設施的攻擊活動。震網活動經過長期規劃準備和入侵潛伏作業，借助高度復雜的惡意代碼和多個零日漏洞作為攻擊武器，以鈾離心機為攻擊目標，以造成超壓導致離心機批量損壞和改變離心機轉數導致鈾無法滿足武器要求為致效機理，最終阻斷了軍事敵對國伊朗的核武器研發建設。這也是首起被披露的借助網絡武器實施隔離網絡工控設備攻擊而且攻擊成功的事件。

4. Cycldek-USBCulprit

USBCulprit 木馬由卡巴斯基惡意代碼分析團隊在 2020 年 6 月份披露，該木馬為 Cycldek APT 組織所有，并且在 2018 年的定向攻擊事件中投入使用。準確來講， 該木馬是一個借助 USB 移動存儲設備進行不同 PC 機器之間數據交互的功能組件(動態鏈接庫 DLL),通過對其進行功能分析能夠確認該木馬具備隔離網絡數據交互、信息收集的能力。

USBCulprit 木馬采用無文件攻擊技術啟用， 由一個免殺能力較好的加載器模塊加載指定目錄下的加密二進制文件，然后內存解密裝載執行。

三、物理隔離內網面臨的安全威脅

物理隔離內網不可能不與外界交互數據， 因此隔離網絡系統的建設注定要犧牲網絡數據交換的便捷性。為了解決實際生產環境中的數據交換需求，經常會出現一些“不得已”的操作， 譬如搭建內網跳板機映射共享目錄、使用可移動存儲設備進行數據擺渡等，這些操作相當于間接打通了一條與外網通信的隧道，從而破壞其物理隔離的完整性。除此之外，物理隔離環境會導致隔離內網環境的安全更新(漏洞補丁、病毒庫等)滯后。

從前面幾起典型的攻擊事件可見， 借助移動存儲設備擺渡實現對隔離網絡的攻擊是主流的攻擊手段，也是具有挑戰性的任務。站在攻擊方角度，攻擊載荷的設計需要考慮眾多問題： 如何應對未知的隔離網環境?如何防止攻擊組件的擴散(可移動存儲設備并非完全用于隔離網絡)?如何準確地進行 USB 擺渡信息交互(如果需要交互的話) ?如何降低被發現的風險并且提升攻擊成功率? …所以， 在實際攻擊中， 針對隔離網絡的定向攻擊活動的幕后團伙往往是實力強大的國家級網軍隊伍。

對隔離網絡的攻擊除采用 USB 等可存儲設備擺渡進入隔離網絡外，目前還存在諸多特別手段，比較典型的：

1. U 盤用作射頻發射器開展攻擊

2016 年，本古里安大學研究人員利用 U 盤突破物理隔離的技術再次升級。他們展示的 USBee 惡意軟件可將普通正常 U 盤用作射頻(RF)發射器，在物理隔離的主機和攻擊者的接收器間傳遞數據，進而加載漏洞利用程序和其他工具，以及從目標主機滲漏數據。接收器與目標主機之間的距離最長可達 9 英寸，如果架上天線，二者之間的距離還能更延長。攻擊者找機會將初始惡意軟件植入目標主機， 且該物理隔離的目標主機使用 U 盤，USBee 即可起效。

2. CPU 電磁信號攻擊

佐治亞理工學院的研究人員花了 5 年多的時間研究如何利用 CPU泄露的電磁信號建立隱秘信道突破物理隔離。 2013 年他們就演示了該電磁信道用于拾取同一房間內物理隔離主機擊鍵信息的方法。最近，他們一直在評估通過 CPU 指令處理所產生的電磁信號到底能滲漏多少信息， 并提供衡量邊信道能力的方法，以便軟硬件設計者能有個標準來評估未來應對此類攻擊的反制措施的有效性。

3. 法拉第籠的電磁信道攻擊

安全人員對電磁信道威脅的響應可能是將高度敏感的物理隔離系統置入法拉第籠中。但法拉第籠的電磁屏蔽并非總是有效。本古里安大學最近的研究表明，法拉第籠也擋不住目標主機和移動設備接收電磁傳輸信號。只要目標主機感染了他們的惡意軟件即可， 研究人員調節 CPU 負載的方式讓他們能夠產生更強的磁漏，從而突破法拉第籠的防御。

4. LED 狀態指示燈攻擊

關鍵系統物理隔離， 但通常仍處在 IP 攝像頭監視之下。這種操作并不少見。然而，本以為是雙保險的做法， 卻可能為攻擊者提供了完美的離線主機信息滲漏渠道。

去年，數支安全團隊演示了利用 LED 狀態指示燈從未聯網系統中傳輸信息到 IP 攝像頭的方法。首先，上面提到過的本古里安大學那支專門研究邊信道的團隊， 他們的 LED-it-GO 研究證明，可通過硬盤 LED 指示燈滲漏數據。然后，中國科技大學的研究人員更進一步，寫出了能調整鍵盤燈閃爍的軟件，能夠以人眼察覺不到但 IP 攝像頭能捕獲到的調制方式泄露數據。兩種攻擊方法都是只要先黑進監視攝像頭，且在目標系統植入惡意軟件，即可成功竊取完全隔離環境下計算機的信息。

5. 紅外遙控攻擊

今年早些時候， 中國科技大學的研究團隊將利用 LED滲透提升到了全新的高度。他們打造了名為IREXF 的隱秘信道，給物理隔離的目標主機增加了發送紅外遙感信號的功能，且滲漏途徑不僅僅是 IP 攝像頭，很多 IoT設備都可以。

代替惡意軟件成為物理隔離主機上進行滲漏的是經供應鏈攻擊，通過目標主機帶入的小小硬件模塊，建立隱秘信道，利用如今很多 IoT 設備都具備的紅外遙控功能來傳輸數據，從而竊取完全隔離環境下的計算機信息。

6. 電廣播和移動設備攻擊

你知道自己每次敲擊鍵盤的時候你的顯卡都在往外發出 FM 無線電信號嗎?本古里安大學的研究人員利用這一系統怪癖開發出了AirHopper 技術。2014 年的演示中， 他們利用手機中的 FM 接收器捕獲到了物理隔離主機上 用戶每次擊鍵時顯卡散發出的 FM 無線電信號。最終，該方法演變成了無 線鍵盤記錄器，能夠盜取隔離系統上錄入信息的那種。

7. 通過電源線竊取計算機數據

如果你想做到自己的電腦真正安全，請務必斷開電源線。來自以色列內蓋夫本古里安大學的莫迪凱·古里(Mordechai Guri)及其旁路攻擊研究團隊研究人員寫了一篇題為《PowerHammer：通過電源線從物理隔離的計算機中泄露數據》的論文，所謂物理隔離是指一種將電腦進行完全隔離(不與互聯網以及任何其他聯網設備連接)以保護數據安全的機制。

論文中介紹，這種被稱為“PowerHammer”的技術是通過在物理隔離計算機上安裝特定的惡意軟件，利用電腦 CPU產生類似莫爾斯電碼的信號，再通過電源線將數據轉化為二進制代碼進行傳輸。

研究人員介紹稱， 根據攻擊者采取的具體方法不同，數據可能以每秒10比特到 1000 比特的速度泄漏出去。如果攻擊者能夠直接連接計算機電源的電纜，那么泄露數據的速度就會更快。這種攻擊方式被稱為“line-levelpowerhammering”。如果攻擊者只能訪問建筑物的電力服務配電板，那么泄露數據的速度就會變得比較慢 ，這種攻擊方式被稱為 “ phase-levelpowerhammering”。

其中，“Line-level PowerHammering”攻擊適用于安裝英特爾 Haswell 芯片的電腦和安裝英特爾 XeonE5-2620 芯片的電腦，前者的數據讀取速度可以達到 1000bps;后者的數據讀取速度可以達到 100bps，零錯誤率。而“Phase-level powerhammering”攻擊的表現就要差得多了，由于受到其他設備的電信號干擾，數據讀取零錯誤率的速度只有 3bps，如果速度上升至10bps，錯誤率則將達到了 4.2%。

8. 揚聲器和耳機隱秘傳輸數據

計算機揚聲器和頭戴式耳機可以充當秘密小話筒，通過超聲波接收數據并發回信號，讓物理隔離的敏感計算機系統沒有看上去那么安全。

2018 年 3 月 9 號， 以色列本古里安大學的研究人員在 ArXiv 上發表了一篇學術論文，描述了采用聽不見的超聲波進行數據傳輸與接收的創新數據滲漏技術，可以在同一房間中沒有麥克風的兩臺電腦之間收發數據。

論文題為《MOSQUITO：利用揚聲器間通信在物理隔離計算機之間進行隱秘超聲傳輸》， 撰寫此文的研發團隊專精邊信道攻擊技術， 曾開發出一系列物理隔離主機間的數據傳輸方法。

比如：ODINI--利用電場在法拉第靜電屏蔽的計算機之間傳送數據的技術; MAGNETO--用電場在物理隔離的計算機與智能手機之間傳送數據的技術;以及 FANSMITTER--利用風扇在物理隔離計算機之間發送音頻數據的方法。

此類隱秘數據傳輸方法都是在 NSA 的 TEMPEST 攻擊基礎上發展而來的。TEMPEST 攻擊利用電子設備散發的電磁輻射、磁場、聲音、光線和熱量來收集并傳送數據。

MOSQUITO 證明了可以利用揚聲器在相隔 9 米的未連接計算機之間隱秘傳輸數據。而且，運用該方法，無麥克風的頭戴式耳機也同樣可以充當數據滲漏工具。研究人員稱，這是世界首例耳機間隱秘通信方法。

論文中解釋道， 揚聲器可以被視為反向工作的麥克風： 揚聲器把電信號轉換為聲信號，而麥克風則是將聲信號轉換為電信號。之所以能逆向該聲電轉換過程，就在于二者均使用了膜片來輔助此轉換。

利用 18 千赫到 24 千赫范圍內的音頻， 研究人員能夠以 166 比特/秒的速率在 3 米距離上傳輸 1KB 二進制文件，傳輸錯誤率為 1%。在 4 到 9 米距離上想要達到同樣低的錯誤率， 傳輸速度就要降到 10 比特/秒， 這很大程度上是由于環境噪音的干擾。

9. 利用以太網電纜從隔離計算機中竊取數據

以色列內蓋夫本古里安大學的研究人員發現了一種被稱為 LANtenna 的新型電磁攻擊方法，該攻擊使用以太網電纜作為傳輸天線從隔離網絡的計算機中竊取敏感數據。

該大學網絡安全研究中心的研發主管 Mordechai Guri 表示， “惡意代碼可在物理隔離網絡的計算機中收集敏感數據， 并將以太網電纜作為天線，通過以太網電纜發出進行過編碼的無線電波。附近的接收設備可以無線攔截信號， 解碼數據，并將其發送給攻擊者。

通常， 隔離網絡由于其基礎設施是物理隔離的， 因此會比傳統網絡更加安全， 很多大型工業公司(如電力、石油和天然氣公司)、 以及政府機構與軍隊都使用物理隔離網絡。

Guri 表示， LANtenna 允許攻擊者以太網電纜發射 125 MHz 頻段的電磁波，將敏感數據從隔離的網絡泄漏到幾米外的位置。

四、物理隔離內網安全建議

構建了隔離內網安全防護體系并不意味著就安全了， 根據 Ramsay 等惡意軟件針對隔離網絡環境的攻擊，其目的是進行各種網絡竊密活動，攻擊者將收集到的情報直接寫入移動存儲介質的特定扇區， 并不在該存儲介質上創建容易查看的文件，可見攻擊與收集行為極具隱蔽性，威脅性很大。針對隔離網絡攻擊的特點與流程大致如下：

(1)通過魚叉釣魚、水坑、供應鏈攻擊等方式，初始攻擊某臺暴露在公網的主機。

(2)橫向滲透到某臺做為中轉的機器(該機器有在公網和隔離網絡間擺渡文件等功能)上， 下發感染文件(包括文檔文件、可執行文件等)、收集信息等惡意插件模塊。

(3)在中轉機器上監視可移動磁盤并感染可移動磁盤上的文件。

(4)可移動磁盤進入隔離網絡。隔離網內的機器若執行被感染的文件，則收集該機器上的相關信息，并寫入可移動磁盤的磁盤扇區或文件的文檔文件的尾部。

(5)可移動磁盤再次插入中轉機器上時，中轉機器上的其他的惡意插件，對可移動磁盤特定扇區存儲的機密信息進行收集，再回傳到攻擊者控制的服務器中。

(6)此外，攻擊者還會下發做為控制功能的文件， 把相關的指令和操作命令寫在控制文件中，然后通過可移動設備擺渡到隔離網絡中，再來解析執行。

為此，建議特別關注以下安全措施加強防御， 防止黑客入侵：

(1)通過官方渠道或者正規的軟件分發渠道下載相關軟件，隔離網絡安裝使用的軟件及文檔須確保其來源可靠。

(2)嚴禁連接公用網絡。若必須連接公用網絡，建議不要進行可能泄露 機密信息或隱私信息的操作，如收發郵件、即時(IM)通信甚至常用軟件 的升級操作。

(3)可能連接隔離網絡的系統，切勿輕易打開不明來源的郵件附件。

(4)需要在隔離網絡環境使用的移動存儲設備，需要特別注意安全檢查， 避免惡意程序通過插入移動介質傳播。

(5)漏洞掃描及修復系統必須十分可靠，及時安裝系統補丁和重要軟件的補丁。

(6)殺毒軟件要及時升級，防御病毒木馬攻擊。

(7)在隔離網絡中的計算機操作人員仍然需要提高安全意識，注意到封閉的隔離網絡并不意味著絕對安全。