如何在具有 Flex Capacity 功能的 SSD 隱藏區域中植入惡意軟件

韓國研究人員設計了一系列針對固態驅動器 (SSD) 的攻擊，這些攻擊可能允許繞過安全解決方案在特定內存位置植入惡意軟件。

這些攻擊針對具有靈活容量功能的驅動器，并允許在 SSD 的隱藏區域（稱為過度配置）中植入惡意代碼。此內存位置用于優化基于 NAND 閃存的存儲系統的性能。

“美光 Flex Capacity 功能旨在通過讓 IT 管理員能夠調整其 SSD 以滿足特定工作負載特征（例如性能、容量和耐用性）來釋放存儲介質的真正功能。”

操作系統及其上運行的任何應用程序都無法看到過度配置，這意味著安全軟件無法檢查其內容以尋找惡意代碼。

許多存儲設備可以實時改變 OP 區域的大小以優化性能。更大尺寸的OP區域可以保證更好的性能。例如，OP 區域最多可設置為 50%。通過改變可由用戶或固件管理器更改的 OP 區域來創建無效數據區域。但是，攻擊者可以使用生成無效數據區域的固件管理器來減小 OP 區域的大小。這種攻擊可能導致信息泄露攻擊。

“假設黑客可以訪問存儲設備的管理表，黑客就可以不受任何限制地訪問這個無效數據區。” 閱讀研究論文。“不需要特殊的取證設備，作為計算機用戶，黑客可以訪問NAND閃存的這些無效數據區域。根據敏感信息存儲在無效數據區，計算機用戶或多或少會對此感到震驚”

專家指出，SSD廠商通常不會為了節省資源而擦除無效數據區，他們只是斷開映射表的鏈接以防止惡意訪問。

據研究人員指出，對 NAND 閃存的取證分析可以檢索六個月以上未刪除的數據。

在第二種攻擊模型中，稱為 TEMPERING ATTACK MODEL，用戶可以對隱藏區域執行任意操作，包括植入惡意軟件。

具有固件和閃存轉換層權限的用戶可以在將存儲的秘密信息存儲在用戶區后隨后使其無效。該信息不會從用戶區物理刪除，只會刪除映射表條目。

“黑客可能會在OP區域隱藏惡意代碼，即惡意代碼。在圖中，為了簡化描述，假設兩個存儲設備SSD1和SSD2連接到一個通道。每個存儲設備都有 50% 的 OP 區域。黑客將惡意代碼存儲到SSD2后，立即將SSD1的OP面積縮小到25%，將SSD2的OP面積擴大到75%。此時，惡意軟件代碼包含在SSD2的隱藏區域中。獲得 SSD 訪問權限的黑客可以通過調整 OP 區域的大小隨時激活嵌入的惡意軟件代碼。” 閱讀研究論文。“由于普通用戶在頻道上保持著100%的用戶區域，因此黑客的這種惡意行為并不容易被發現。”

研究人員還提供了針對上述攻擊的建議。為了防止信息泄露，可以擦除OP區域，而對于第二種攻擊，建議實時監控OP區域的任何VALID/INVLID DATA RATE MONITORING。

無效數據比率的激增可能代表惡意活動的指標。

專家還建議保護 SSD 管理應用程序免受未經授權的訪問。