又一种入侵物理隔离设备的方法 利用KVM

安全
两位以色列的安全研究人员,Yaniv Balmas 和 Lior Oppenheim 开发了一种可以绕过物理隔离系统的恶意软件,它可以悄悄感染、侵占,并驻扎在物理隔绝或网络隔绝的设备上。

两位以色列的安全研究人员,Yaniv Balmas 和 Lior Oppenheim 开发了一种可以绕过物理隔离系统的恶意软件,它可以悄悄感染、侵占,并驻扎在物理隔绝或网络隔绝的设备上。

[[162050]]

Yaniv Balmas

他在上个月于德国汉堡举行的混沌通讯大会上演示了这种攻击。通过撬开并接触KVM设备的组件,下载恶意软件,最后入侵与之相连的计算机。因为 KVM 被用于同时操控多台设备。受感染的单元通常不会被管理员第一时间怀疑,并有可能入侵所有与之连接的计算机,使用它们连接到互联网保持更新并传输窃取到的数据。

KVM 能够使用连接到互联网的设备下载恶意软件,然后将其传递给设备的内存。

之后,它可以传播给物理隔离的系统,并感染更敏感的设备。

Balmas 在他名为《如何让你的 KVM 变成厉害的密钥登陆怪兽》的演讲中说:“这个 KVM 可以在深夜被唤醒,并开始键入用户密码。”

“KVM 键入密码,并执行 wget 命令,通过连接到互联网的计算机从云端下载恶意软件。”

它的存留性非常强,因为你几乎没有防止它的措施:你可以重新格式化硬盘,关掉电脑,但只要 KVM 还在,每个晚上你都会重新受到感染。

又一种入侵物理隔离设备的方法 利用KVM

攻击流

攻击者有些时候需要物理连接到 KVM ,这让该方式只能适用于有针对性的攻击。

Balmas 表示可以通过多种社会工程学手段实现就这一点,比如从更高层级的供应商下手,先感染目标会订购的设备。

然而 KVM 是随着 IP 地址进行更新的,这给直接远程入侵打开了道路,也显著增加了入侵物理隔离设备的影响力。

“由于它们使用 IP 地址进行更新,从理论上讲我们可以远程发起入侵。”

Balmas 列出了基于 IP 的 KVM 的五个已知漏洞,以说明远程入侵的可行性。

对管理员而言,处理这种攻击的最佳方式是深入理解 IT 环境中使用的硬件,以及将物理隔离设备连接到有网络计算机的必要性。

安全 KVM 可以防止这种攻击,但它们成本过高,很少有人使用。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2018-04-18 07:34:58

2015-04-17 15:23:15

2018-12-14 14:30:12

安全检测布式系测试

2011-07-04 17:53:48

快速测试

2024-05-24 08:54:18

2021-02-18 18:13:34

LinuxARM树莓派

2012-05-25 09:14:31

虚拟化虚拟设备桌面虚拟化

2010-03-26 13:34:47

CentOS安装

2021-06-11 00:11:23

GPS数据协议

2018-02-08 08:11:41

2020-12-23 10:10:23

Pythonweb代码

2022-07-07 10:33:27

Python姿势代码

2022-06-22 09:44:41

Python文件代码

2011-02-23 09:35:25

Eclipse远程调试

2017-12-11 10:40:14

2020-12-09 10:15:34

Pythonweb代码

2013-12-04 13:34:44

2020-06-02 10:00:00

斑马技术

2020-06-02 10:00:00

防控

2018-02-25 17:23:20

用户搜索日志商品标题压缩
点赞
收藏

51CTO技术栈公众号