1、基本概念
-
摆渡攻击:利用移动存储设备,从与互联网物理隔离的内部网络中窃取机密数据的信息攻击手段
-
利用U盘等存储介质作为“渡船”,在互联网和隔离内网之间建立数据传输通道,间接的从内网中秘密窃取机密信息并回传到互联网中
-
摆渡程序能实现自我复制、隐藏、扫描机密文件、加密压缩等功能,从而实现对敏感信息的回传功能
2、摆渡攻击
-
Autorun
-
自动运行,是微软的Windows的操作系统的一种自动运行文件的机制
-
基本原理
-
在光盘或U盘根目录下创建autorun.inf文件,该文件可指定自动运行的程序,系统将会自动运行由antorun.inf文件所指定的程序
-
具有摆渡功能恶意程序不断向干净的可擦写光盘或者U盘写入木马程序和autorun.inf文件,并将其属性设为隐藏
-
当被感染的光盘或者U盘插入新的内网主机上时,便会通过自动运行机制运行恶意摆渡程序
-
-
-
LNK漏洞
-
LNK是Windows快捷方式的拓展名,由Shell32.dll来解析这些快捷方式,帮助操作系统找到快捷方式所对应的程序文件路径和图标资源
-
利用系统解析快捷方式的机制,攻击者恶意构造一个特殊的LNK文件,精心构造一串程序代码来欺骗操作系统
-
当Shell32.dll解析到这串编码的时候,会将恶意组件加载到内存中执行
-
特点
-
“看一眼就中毒”
-
通过U盘、移动硬盘、数码存储卡进行复制传播
-
将病毒文件打包在正常程序的压缩包传播
-
在局域网的共享文件传播
-
-
-
BadUSB
-
利用USB固件漏洞而进行的网络攻击工具,即写入了恶意代码的定制USB设备
-
伪装成HID人机交互设备(例如键盘、鼠标等)
-
特点:恶意代码存在于U盘的固件中,杀毒软件无法访问固件区域,无法对其进行查杀
-
3、摆渡攻击的攻击场景
-
内外网隔离的网络
-
通常应用在具有隔离需求的涉密机构和组织中
-
政府、企业、军队、科研机构、金融机构等
-
-
将可连接互联网的业务处理计算机与不联网的核心数据计算机通过物理隔离手段进行分隔,包括绝对隔离和通过隔离设备隔离,以保证内部网络的绝对安全和机密数据的安全性、完整性
-
-
跨协议架构的异构网络
-
由通用计算机网络和专用网络共同构成的网络架构
-
攻击者要跨协议架构传播病毒,可以通过摆渡攻击将适用于不同网络架构的病毒散播到异构协议的网络中,极大地增加了网络攻击的纵深和危害性
-
-
4.摆渡攻击的防御方法
-
升级操作系统,使用更加安全的操作系统并及时更新安全补丁
-
全面禁止自动运行,在系统安全策略中禁用自动运行功能
-
禁止光盘直接安装程序
-
进行USB接口管理,全面监控USB设备接入系统的状态
-
安装杀毒软件,及时更新病毒库
-
内网涉密计算机禁止接入任何网络并防止非法外联