E安全3月30日讯 以色列研究人员发现一种新型技术，允许攻击者利用无人机发射激光隔空对设备进行无线形式操控。

黑客利用恶意软件感染目标计算机时，通常需要利用命令控制服务器通过互联网与其恶意代码进行通信。然而，现有防火墙与入侵检测系统能够有效阻止此类来自可疑域名以及IP地址的通信流量。

为了绕过此类常见的检测方法，以色列的研究人员们设计出一种新型恶意软件通信方式。此项技术利用平板扫描仪作为网关，攻击者能够借此向植入受害者网络中的恶意软件发出命令。攻击者可通过在扫描仪附近使用光源的方式通过扫描设备将命令信号发送至恶意软件。

这种技术可用于在重要会议之前擦除计算机或者网络上的重要文件、触发勒索软件对文件及系统进行加密，或者启动已经植入至网络中的逻辑炸弹以关闭计算机或者执行其它操作。这种攻击甚至可被用于攻击工控系统，从而成功跨越各类未与互联网直接相连的所谓内部网络“空隙”。

基本攻击方式：扫描仪就近捕捉现有光源获取指令实施攻击

例如：借助智能灯泡

研究人员们在攻击测试当中于，在距离目标位置900米外的区域利用附着于办公室窗外的装置发射激光，以此向办公室内的扫描仪传递“擦除xxx.doc文件”的指令。

https://v.qq.com/txp/iframe/player.html?vid=x0388s44xju&width=500&height=375&auto=0
除此之外，此类攻击还可通过在扫描仪附近捕捉现有光源的方式实现。研究人员亦通过支持建筑物周边停车场内的车载智能灯泡也成功完成了攻击概念验证。

这项研究工作由本·古里安大学网络安全研究中心（专门从事空隙系统的安全研究工作的以色列实验室）研究生本·纳西及其顾问尤瓦·埃洛维奇进行，其理论基础则来自著名密码学家阿迪·沙米尔（Adi Shamir，即RSA安全公司中的S创始人）提出的设想。

本·古里安大学网络安全研究中心此前的大部分工作集中在具体方法层面，包括利用无线电信号、电磁波、热能排放或者计算机内风扇等对空隙环境中的密码等数据进行提取。但此次研究的方向则有所区别，他们第一次成功实现了面向受害者网络的数据发送。当然，此项技术也可反向应用以实现数据提取。

激光控制原理

扫描仪通过检测玻璃窗内的反射光进行工作。光线本身会创造电荷，并由扫描仪将其转换为二进制形式并进一步生成对应图像。由于扫描仪对于室内光线的任何变化皆相当敏感，因此不管是玻璃板上的纸张或者红外线光源皆会被其捕捉并转换为二进制形式。这也意味着我们可以利用可见光源或者人眼不可见的红外激光照射其取景玻璃窗，最终令其发送精心策划的信号。

此类攻击活动包含多项较为明显的迹象。比如用于解码的恶意软件必须已经被安装在网络中的目标系统之内，且扫描仪机盖必须已经打开或者至少部分打开才能够接收到光线。

鉴于被攻击的机构的工作人员在使用扫描仪后继续敞开挡板的情况并不少见，攻击者可能需要买通清洁人员或者工作人员以确保他们在下班后确保挡板被拉起。

“由于大多数办公室皆使用透明玻璃幕墙，因此攻击者完全可以使用可见激光进行穿透。”

在将恶意软件安装在目标组织内的计算机中后，其扫描内部网络以查找是否存在扫描设备。恶意软件会在预定时间内启动扫描，例如在夜间办公室内空无一人时进行扫描，并在接收到攻击者所使用的激光或者其它被劫持光源时发送信号。命令通过打开及关闭激光进行二进制性质发送，二者分别代表“1”与“0”两种信号。每条命令之前与之后皆需要插入二进制前缀与后缀，即1001，用以告知恶意软件所发送之命令段落。恶意软件则将该二进制信号解码为命令，甚至能够发送回应以确认收到命令。

研究人员们首先利用安装于900米外的建筑物玻璃幕墙处的激光光源装置实施攻击。即使扫描仪处于建筑物内三楼位置，外部地面位置仍可在远距离处保持对应视野。

考虑到建筑物的幕墙往往使用滤光玻璃以阻挡紫外线与红外线，研究人员使用了可见的绿色激光。

激光劫持扫描仪的多种方式验证均奏效

第二项实验则利用无人机在20米开外的位置由窗口处向室内发射激光。

https://v.qq.com/txp/iframe/player.html?vid=i0388lyhj9m&width=500&height=375&auto=0
纳西在采访当中表示，“其实大多数办公室使用的是透明玻璃幕墙，因此攻击者完全可以使用可见激光进行穿透。”

命令中的每一bit大约需要50毫秒进行传输。发送完整64 bit信息大约需要3秒钟。在这两项测试当中，恶意软件能够在命令序列结束之后，通过第二次触发扫描仪进行信号实时读取并确认收取。而安装在无人机上的录像机与伸缩式支架则能够准确记录扫描仪的收取响应。

当激光攻击装置不在攻击者视线范围内，智能灯泡可用于辅助攻击

以上2项激光攻击验证均要求扫描装置处于攻击者的视野之内。

然而，如果扫描仪超出视野范围，研究人员亦可设法劫持扫描仪附近的智能灯泡进行攻击。根据其它研究团体之前的调查表明，智能灯具与灯泡确实极易受到攻击。

在发布的测试结果报告中，研究人员们强调称尽管智能灯泡本身并不包含任何重要信息，但攻击者仍会对其发动攻击以实现特定照明（例如智能灯泡）目的或者照明本身作为副作用出现的物联网设备操控（例如智能电视）。

以色列研究人员亦在此次测试中使用到勒索软件进行攻击，包括发送命令以加密停车场内车辆的内部数据。

汽车司机通过蓝牙装置利用三星Galaxy S4控制灯泡光波，在测试中他们发现扫描仪能够检测到灯泡亮度的轻微变化，甚至包括幅度仅为5%且持续时间不超过25毫秒的亮度波动这样的小幅变化，而这类细微变化受害者根本不会察觉。

扫描仪攻击方式具有广泛的适用性

Mandiant公司工控系统专家克里斯·西斯特兰克表示，这一扫描仪攻击方式拥有广泛的适用性，甚至能够用于对存在扫描仪网络的制造车间进行系统与生产流程操纵，或者入侵未进行严格隔离的企业IT与流程网络。

他在采访中表示，如果该扫描仪存在于未进行区域划分和隔离的IT网络之内或者防火墙配置不当，攻击者很容易实现与扫描仪间的通信。

为了防范此类攻击活动，研究人员们表示，企业与各类组织机构应断开扫描仪与内部网络之间的连接；但这种作法可能有碍工作人员将文档远程发送至或传真至式功能打印机/扫描仪处。他们表示，更理想的解决方案为设置一套代理系统，即将扫描仪通过有线连接接入内部网络中专门用于处理扫描仪数据的计算机，而非将其直接接入网络。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。