通过可移动媒体通信是攻击者利用物理存储介质在隔离网络间建立隐蔽通信信道的技术手段,常用于突破物理隔离环境的数据渗透和指令控制。传统防御依赖对可移动介质的文件访问监控和挂载行为分析,通过检测异常进程创建或可疑文件读写模式识别潜在威胁。典型缓解措施包括禁用自动运行功能、实施设备白名单管控及部署介质内容扫描工具。
为规避物理隔离环境下的通信行为检测,攻击者持续演进形成多种高阶匿迹技术,通过硬件层隐蔽信道构建、数据存储机制创新及合法功能滥用等策略,将恶意通信行为深度融入物理介质的标准化操作流程中,形成"介质即信道"的新型攻击范式。
现有匿迹技术的核心创新在于突破传统网络通信协议栈限制,构建多维度隐蔽传输体系:隐写术存储通信通过比特级数据隐藏技术将控制指令融合进普通文件载体,利用格式兼容性规避内容审查;加密微控制器桥接重构物理介质硬件架构,在控制器固件层建立独立于操作系统的无线通信通道;傀儡文件元数据触发则深度利用文件系统特性,将通信数据存储在非结构化元数据区域并通过合法操作触发传输。三类技术的共性在于将通信行为解构为物理介质的标准功能延伸,通过硬件层隐蔽化、数据层融合化、触发层场景化的多维匿迹策略,使得恶意通信流量不再呈现传统网络攻击的离散特征,而是完全内化于存储介质的正常使用模式中。
匿迹技术的发展导致传统基于文件特征扫描或进程监控的防御体系面临严峻挑战,防御方需加强物理介质的硬件安全检测能力,开发元数据深度分析工具,并构建覆盖射频、电磁等多物理维度的信号监控体系,实现对隐蔽通信行为的立体化防御。
| 效应类型 | 是否存在 |
|---|---|
| 特征伪装 | ✅ |
| 行为透明 | ❌ |
| 数据遮蔽 | ✅ |
| 时空释痕 | ✅ |
攻击者通过滥用合法文件格式和硬件标准功能实现通信行为伪装。例如将控制指令嵌入图片文件的像素数据层,或利用U盘控制器的标准固件更新机制传输数据,使得通信行为在文件系统和硬件功能层面均呈现合规特征,有效规避基于异常协议识别的检测机制。
采用分层加密和物理层信号调制技术对通信内容实施多重混淆。隐写数据经过AES加密后嵌入载体文件,微控制器通信采用动态跳频技术隐藏电磁特征,确保即便通信行为被捕获,其内容与传输特征仍无法被有效解析。
通过离散化介质使用频率和延长通信周期降低检测概率。攻击者控制物理介质的接入间隔(如每周单次传输),将数据分片存储在多个介质中跨时段传递,使得单次行为特征低于检测阈值,同时破坏时间维度上的行为关联性。
| ID | Name | Description |
|---|---|---|
| G0007 | APT28 |
APT28 uses a tool that captures information from air-gapped computers via an infected USB and transfers it to network-connected computer when the USB is inserted.[1] |
| S0023 | CHOPSTICK |
Part of APT28's operation involved using CHOPSTICK modules to copy itself to air-gapped machines, using files written to USB sticks to transfer data and command traffic.[2][3][1] |
| S0136 | USBStealer |
USBStealer drops commands for a second victim onto a removable media drive inserted into the first victim, and commands are executed when the drive is inserted into the second victim.[4] |
| ID | Mitigation | Description |
|---|---|---|
| M1042 | Disable or Remove Feature or Program |
Disable Autoruns if it is unnecessary.[5] |
| M1028 | Operating System Configuration |
Disallow or restrict removable media at an organizational policy level if they are not required for business operations.[6] |
| ID | Data Source | Data Component | Detects |
|---|---|---|---|
| DS0016 | Drive | Drive Access |
Monitor for unexpected file access on removable media |
| Drive Creation |
Monitor for newly executed processes when removable media is mounted. |