【真空地帶】修改SSD預留空間難被偵測 惡意軟件入侵可持續存活
為了提升 SSD 的運作效能,生產商會在儲存設備內預留約 7 至 25% 空間,以自動執行分配儲存資源工作。不過,這些空間由於無法被用家及防毒工具存取,因此只要黑客控制,便可在內裏埋下無法被輕易偵測及剷除的惡意軟件。南韓高麗大學安全研究員便發現兩個可被利用的漏洞,呼籲 SSD 製造商 Micron Technology 盡快解決問題。
SSD 製造商 Micron Technology 的產品配備一個名為 Flex Capacity 的功能,它的作用是會自動調整儲存設備內的原始及用家可使用的儲存空間比例,以提升數據的儲存效率及運作效能。而這個用於自動調整的預留空間 (over-provisioning),一般會佔總儲存空間的 7 至 25%。由於廠方需要確保這個預留空間去執行優化工作,因此會隱身於用家及防毒軟件可接觸的範圍。而高麗大學安全研究員發現的兩種針對 SSD 攻擊方式,便是利用這空間去盜取機密資料及安裝惡意軟件,後者更可持續在系統中生存,極難被發現及剷除。
研究員就第一種入侵方法作出解釋,他們指 SSD 製造商傾向不會剷除儲存設備內的無效數據,甚至讓它們繼續保留在儲存設備內多個月。而這些數據會被閒置在用家可使用儲存空間及預留空間之間,內裏有可能藏著各種機密資料。研究員說只要黑客成功入侵系統,便可以使用 SSD 的系統工具修改預留空間比例,將這些機密數據納入其中,從而便能讀取這些數據。
另一種入侵方式則瞄準連接在一起的雙 SSD 儲存設備進行攻擊,黑客透過操控兩個 SSD 的預留空間比例,讓惡意軟件可以順利在其中一個 SSD 內安裝。研究員解釋,假設兩個 SSD 的預留空間均為 50%,當黑客將惡意軟件儲存於其中一個 SSD 的用家可使用部分後,黑客便可透過修過兩個 SSD 的預留空間比例,例如將藏有惡意軟件的 SSD 的預留空間提升至 75%,另一個「乾淨」的 SSD 則減少至 25%,這時因為惡意軟件已被納入 75% 的預留空間範圍,黑客便可執行安裝而不為防毒軟件所發現,其後便能一直存活於這個 SSD 的預留空間之中。
研究員指出,監測 SSD 的預留空間內有否可疑行動不單只非常花時間,而且亦要非常高的鑑證技術,因此一般用家很難發現是否已被入侵。他們建議 SSD 生產商應改用不會影響存取效能的演算法去取代預留空間這種效能管理模式,令防毒軟件可監測整個 SSD 存取範圍。另外亦應為管理系統加入數據監察技術,清晰掌握有效及無效數據的儲存比例,如發現無效數據所佔比例大幅升高,便有可能正有惡意行為發生,令用家可以提高警覺。