Koreli araştırmacılar, bazı katı hal sürücülerine (SSD’ler) karşı, kullanıcının ve güvenlik çözümlerinin erişemeyeceği bir yere kötü amaçlı yazılım yerleştirmeye izin verebilecek bir dizi saldırı geliştirdi.
Saldırı modelleri esnek kapasite özelliklerine sahip sürücüler içindir ve bu günlerde SSD üreticileri tarafından NAND flash tabanlı depolama sistemlerinde performans optimizasyonu için yaygın olarak kullanılan aşırı sağlama adı verilen cihazdaki gizli bir alanı hedefler.
Donanım düzeyindeki saldırılar, nihai kalıcılık ve gizlilik sunar. Gelişmiş aktörler, bu tür kavramları HDD’lere karşı uygulamak için çok çalıştı geçmişte, erişilemeyen disk sektörlerinde kötü amaçlı kodu gizleme.
Esnek kapasite nasıl çalışır?
Esnek kapasite, Micron Technology’nin SSD’lerde bulunan ve depolama cihazlarının otomatik olarak ayarla yazma iş yükü hacimlerini emerek daha iyi performans elde etmek için ham ve kullanıcı tarafından ayrılan alanın boyutları.
Aşırı sağlama adı verilen ve genellikle toplam disk kapasitesinin %7 ila %25’ini alan bir arabellek oluşturan ve ayarlayan dinamik bir sistemdir.
Aşırı sağlama alanı, güvenlik çözümleri ve anti-virüs araçları dahil olmak üzere işletim sistemi ve üzerinde çalışan tüm uygulamalar tarafından görülmez.
Kullanıcı farklı uygulamaları başlatırken, SSD yöneticisi bu alanı, yazma veya okuma yoğunluğuna bağlı olarak iş yüklerine göre otomatik olarak ayarlar.
saldırı modelleri
Seul’deki Kore Üniversitesi’ndeki araştırmacılar tarafından modellenen bir saldırı, kullanılabilir SSD alanı ile aşırı sağlama (OP) alanı arasında yer alan ve boyutu ikisine bağlı olan, silinmemiş bilgiler içeren geçersiz bir veri alanını hedefliyor.
Araştırma makalesi, bir bilgisayar korsanının üretici yazılımı yöneticisini kullanarak OP alanının boyutunu değiştirebileceğini ve böylece sömürülebilir geçersiz veri alanı oluşturabileceğini açıklıyor.
Buradaki sorun, birçok SSD üreticisinin kaynaklardan tasarruf etmek için geçersiz veri alanını silmemeyi seçmesidir. Bu alan, eşleme tablosunun bağlantısını kesmenin yetkisiz erişimi önlemek için yeterli olduğu varsayımı altında, uzun süreler boyunca verilerle dolu kalır.
Bu nedenle, bu zayıflıktan yararlanan bir tehdit aktörü, potansiyel olarak hassas bilgilere erişim sağlayabilir.
bu araştırmacılar notu NAND flash bellekteki adli faaliyetin altı aydan uzun süredir silinmemiş verileri ortaya çıkarabilmesi.
İkinci bir saldırı modelinde, OP alanı, bir tehdit aktörünün kötü amaçlı yazılımları gizleyebileceği, kullanıcıların izleyemediği veya silemeyeceği gizli bir yer olarak kullanılır.
Gazete bu saldırıyı şöyle anlatıyor:
Açıklamayı basitleştirmek için iki depolama cihazının SSD1 ve SSD2’nin bir kanala bağlı olduğu varsayılmıştır. Her depolama aygıtının %50 OP alanı vardır. Bilgisayar korsanı kötü amaçlı yazılımı SSD2’de depoladıktan sonra, hemen SSD1’in OP alanını %25’e düşürür ve SSD2’nin OP alanını %75’e genişletir.
Şu anda, kötü amaçlı yazılım kodu SSD2’nin gizli alanına dahil edilmiştir. SSD’ye erişim elde eden bir bilgisayar korsanı, OP alanını yeniden boyutlandırarak herhangi bir zamanda gömülü kötü amaçlı yazılım kodunu etkinleştirebilir. Normal kullanıcılar kanalda %100 kullanıcı alanı bulundurdukları için hackerların bu tür kötü niyetli davranışlarını tespit etmek kolay olmayacaktır.
Böyle bir saldırının bariz avantajı, gizli olmasıdır. OP alanlarındaki kötü amaçlı kodu tespit etmek yalnızca zaman alıcı olmakla kalmaz, aynı zamanda son derece uzmanlaşmış adli teknikler gerektirir.
karşı önlemler
Araştırmacılar, birinci tür saldırıya karşı bir savunma olarak, SSD üreticilerinin OP alanını gerçek zamanlı performansı etkilemeyecek bir sözde silme algoritmasıyla silmesini öneriyor.
İkinci saldırı türü için, OP alanına kötü amaçlı yazılım enjekte etmeye karşı potansiyel olarak etkili bir güvenlik önlemi, SSD’lerin içindeki oranı gerçek zamanlı olarak izleyen geçerli-geçersiz veri hızı izleme sistemleri uygulamaktır.
Geçersiz veri oranı aniden önemli ölçüde arttığında, kullanıcı bir uyarı ve OP alanında doğrulanabilir bir veri silme işlevi seçeneği alabilir.
Son olarak, SSD yönetim uygulamasına erişim, yetkisiz erişime karşı güçlü savunmalara sahip olmalıdır.
Araştırmacılar, “Kötü niyetli bir bilgisayar korsanı olmasanız bile, yanlış yönlendirilmiş bir çalışan, herhangi bir zamanda OP alanı değişken bellenimi/yazılımını kullanarak gizli bilgileri kolayca serbest bırakabilir ve sızdırabilir” – açıklıyor.
Bleeping Computer, Micron’a ulaştı ve yukarıdakiler hakkında bir yorum istedi ve bir yanıt aldığımızda bu hikayeyi güncelleyeceğiz.
Araştırma, Micron SSD’lerdeki OP alanının kötü amaçlı yazılımları depolamak için kullanılabileceğini gösterse de, bu tür saldırıların şu anda vahşi ortamda gerçekleşmesi olası değildir.