Корейские исследователи разработали серию атак на SSD (твердотельные накопители), которые делают вредоносное ПО недоступным для пользователей и решений безопасности. Эти атаки, применимые к дискам с гибкими спецификациями емкости, нацелены на скрытую область устройства, называемую избыточным выделением ресурсов, которая в наши дни обычно используется производителями твердотельных накопителей для оптимизации производительности в системах хранения данных на основе флэш-памяти NAND.
Как работает вредоносное ПО, поселившееся на SSD?
Эти атаки, происходящие на аппаратном уровне, происходят очень скрытно и являются постоянными. Гибкая емкость использует функцию твердотельных накопителей от Micron Technology, которая позволяет устройствам хранения автоматически регулировать размер необработанного и выделенного пользователем пространства для повышения производительности за счет поглощения объемов рабочей нагрузки записи.
Этот процесс, называемый избыточным выделением ресурсов, представляет собой динамическую систему, которая создает и настраивает буфер, который обычно занимает от 7% до 25% общей емкости диска. Он становится невидимым для операционной системы и работающих на ней приложений, включая решения безопасности и антивирусные инструменты. Диспетчер SSD автоматически настраивает это пространство для рабочих нагрузок в зависимости от интенсивности записи или чтения.
Как осуществляется атака на SSD?
Атака, смоделированная исследователями Корейского университета в Сеуле, имитировала атаку, нацеленную на недействительную область данных, содержащую неудаленную информацию, размер которой зависит от двух, расположенных между доступным пространством SSD и областью избыточной подготовки (OP). Результат исследования показал, что хакер может использовать диспетчер прошивки, чтобы изменить размер пространства OP, тем самым создавая пригодное для эксплуатации пространство недействительных данных.
Проблема здесь в том, что многие производители твердотельных накопителей предпочитают не удалять недействительное пространство данных для экономии ресурсов. Эта область остается заполненной данными в течение длительного периода времени, при условии, что отключение таблицы сопоставления достаточно для предотвращения несанкционированного доступа. Вредоносное ПО, использующее эту уязвимость, может получить доступ к потенциально конфиденциальной информации.
Исследователи отмечают, что действия во флэш-памяти NAND могут выявить данные, которые не удалялись более шести месяцев. Во второй модели атаки домен OP может использоваться как секретное место, где злоумышленник может скрывать вредоносное ПО, которое пользователи не могут отслеживать или удалять.
,
Для упрощения объяснения предполагается, что два накопителя SSD1 и SSD2 подключены к одному каналу. Каждое устройство хранения имеет 50% пространства OP. После того, как хакер сохраняет вредоносное ПО на SSD2, он немедленно уменьшает OP-пространство SSD1 до 25% и расширяет OP-пространство SSD2 до 75%.
Программный код находится в скрытой области SSD2. Хакер, получивший доступ к SSD, может в любой момент изменить размер OP-пространства и активировать встроенный вредоносный код. Поскольку обычные пользователи имеют 100-процентное пользовательское пространство в канале, обнаружить такое вредоносное поведение хакеров будет непросто.
Как мы можем принять меры?
В качестве защиты от атак первого типа исследователи предлагают производителям твердотельных накопителей стереть домен OP с помощью алгоритма псевдостирания, который не повлияет на производительность в реальном времени. Потому что очевидным преимуществом такой атаки является ее скрытность. Обнаружение вредоносного кода в доменах OP не только отнимает много времени, но и требует узкоспециализированных методов криминалистики.
Для второго типа атаки потенциально эффективной мерой безопасности против внедрения вредоносного ПО в домен OP является внедрение систем мониторинга действительной и недействительной скорости передачи данных, которые отслеживают скорость внутри твердотельных накопителей в режиме реального времени. Когда скорость неверных данных внезапно значительно увеличивается, пользователь может получить предупреждение и возможность проверки функции удаления данных в области OP.
Наконец, приложение управления SSD должно иметь надежную защиту от несанкционированного доступа. В заявлении по этому поводу исследователи сказали:
Даже если вы не злонамеренный хакер, введенный в заблуждение сотрудник может легко раскрыть и утечь конфиденциальную информацию в любое время, используя программное обеспечение переменных домена OP.
