Security Week 2438: эксфильтрация данных через свист конденсаторов

Security Week 2438: эксфильтрация данных через свист конденсаторов
Седьмого сентября исследователь Мордехай Гури опубликовал новую работу , предложив атаку PIXHELL — очередной метод эксфильтрации данных из компьютера, изолированного от Интернета и локальной сети. Гури — известный специалист по решению задач такого рода. За последние 10 лет он опубликовал минимум два десятка работ. Все они так или иначе решают следующую проблему: есть компьютер с особо секретными данными, отключенный от сети. Мы предполагаем, что на этом ПК каким-то образом удалось запустить вредоносное программное обеспечение, способное собрать секретную информацию. Осталось выяснить, как ее оттуда извлечь. Очевидные способы (подкупить сотрудника, заслать в охраняемое помещение шпиона) Мордехай Гури отметает как слишком скучные и вместо этого изобретает все новые нетривиальные подходы, которые наверняка учитываются в наиболее параноидальных сценариях защиты информации.


Во всех своих работах Мордехай Гури описывает несколько общих способов организации скрытного канала передачи информации: это звук, свет, тепло, магнитное и электромагнитное излучение. Свежая работа описывает создание акустического канала эксфильтрации. Самый простой метод такого рода был описан в 2018 году: через динамики ноутбука или даже PC Speaker на материнской плате десктопа воспроизводятся аудиосигналы высокой частоты, которые люди в помещении, скорее всего, не услышат. Свежее исследование организует акустический канал чуть более сложным образом, используя паразитный шум электронных цепей компьютерного монитора.

С нежелательным «свистом» электроники иногда сталкиваются владельцы ноутбуков. Похожий паразитный шум может наблюдаться и у блоков питания (у Мордехая Гури есть работа и про них тоже). В случае компьютерного монитора Гури начал с вывода паттернов из черных и белых линий, как показано на примере выше. Побочным эффектом от демонстрации такого изображения является быстрое изменение напряжения и, соответственно, паразитный шум на определенной частоте. Дальше автор исследования взял четыре разных дисплея и на каждом сгенерировал серию паттернов, которые, в свою очередь, создают шум последовательно во всем слышимом спектре частот.


Нас интересует вот эта наклонная черта. Это — «полезная информация». Все остальное — иные шумы от работы монитора. Можно сделать вывод, что дисплеи разных производителей шумят по-разному. По сути электронные цепи были превращены в очень-очень плохой динамик. Осталось выбрать наиболее выгодную частоту для передачи данных и закодировать информацию. Непосредственно передача данных выглядит так:


В данном случае информация передается на частотах от 4,5 до 5 килогерц. По идее, передачу данных на этих частотах могут услышать находящиеся в помещении сотрудники, но громкость такого сигнала настолько низкая, что зафиксировать утечку можно только приборами. Отсюда и важное ограничение метода: прием информации возможен на расстоянии не более двух метров от монитора. В исследовании предложено ПО для смартфона, встроенный микрофон которого имеет достаточную чувствительность для приема данных. Скорость эксфильтрации также чрезвычайно низкая: не более 20 бит в секунду. Мордехай Гури заранее отвечает на возможную критику: а не вызовет ли подозрение у находящихся в помещении вывод каких-то странных полос на монитор? В целом автор исследования предполагает сценарий «ночной кражи данных», когда сотрудников в помещении нет, но компьютер и монитор включены. Кроме того, он допускает возможность улучшения метода: с передачей паттернов на минимальной яркости или даже создание цветных паттернов, которые лишь незначительно меняют обычную информацию на дисплее.

Буквально за несколько дней до публикации атаки PIXHELL Гури опубликовал еще одну работу . В ней реализована атака RAMBO, при которой вредоносное ПО чередует активное обращение к оперативной памяти с паузами и таким образом превращает модули памяти в радиопередатчик на частоте около 1 мегагерца. Это также не первый способ создания скрытного канала с помощью электромагнитных волн, но по сравнению с предыдущим исследованием увеличена скорость эксфильтрации до 1000 бит в секунду. Демонстрация этой атаки показана на видео:



Что еще произошло

Компания Microsoft добавила в библиотеку SymCrypt алгоритмы, защищенные от квантовых вычислений. Такие алгоритмы постепенно вводятся в эксплуатацию с целью обеспечить защиту данных к тому моменту, когда атаки на традиционные алгоритмы (например, RSA и Diffie-Hellman) станут возможны на практике.

Обнаружена критическая уязвимость в корпоративном ПО Ivanti Endpoint Management Software.

Закрыта уязвимость нулевого дня в Adobe Reader.

С первого октября WordPress делает обязательной двухфакторную аутентификацию для разработчиков расширений.

Исследователи из компании Doctor Web обнаружили массовое заражение телеприставок на базе Android вредоносным программным обеспечением.
side channel covert channels pixhell
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!