新型 PIXHELL 攻击利用屏幕噪音从气隙计算机中窃取数据
一种名为 PIXHELL 的新型侧信道攻击可能被滥用,通过突破“音频间隙”并利用屏幕上像素产生的噪声泄露敏感信息,从而针对气隙计算机。以色列内盖夫本古里安大学(Ben Gurion University of the Negev)软件和信息系统工程系进攻性网络研究实验室(Offensive Cyber Research Lab)的负责人莫迪凯·古里(Mordechai Guri)博士在新发表的论文中说:“气隙和音频隙计算机中的恶意软件会生成精心制作的像素模式,这些像素模式会产生0 – 22 kHz频率范围内的噪声。“恶意代码利用线圈和电容器产生的声音来控制从屏幕发出的频率。声学信号可以编码和传输敏感信息。该攻击值得注意的是,它不需要在受感染的计算机上安装任何专用的音频硬件、扬声器或内部扬声器,而是依靠 LCD 屏幕来产生声音信号。气隙隔离是一项重要的安全措施,旨在通过物理和逻辑隔离任务关键型环境与外部网络(即互联网)隔离,保护关键任务环境免受潜在的安全威胁。这通常是通过断开网络电缆、禁用无线接口和禁用 USB 连接来实现的。也就是说,可以通过流氓 Insider 或破坏硬件或软件供应链来规避此类防御。另一种情况可能涉及毫无戒心的员工插入受感染的 USB 驱动器,以部署能够触发秘密数据泄露通道的恶意软件。“网络钓鱼、恶意内部人员或其他社会工程技术可能被用来诱骗有权访问气隙系统的个人采取危及安全性的操作,例如点击恶意链接或下载受感染的文件,”Guri 博士说。“攻击者还可能通过针对软件应用程序依赖项或第三方库来使用软件供应链攻击。通过破坏这些依赖项,它们可能会引入漏洞或恶意代码,而这些漏洞或恶意代码在开发和测试过程中可能会被忽视。与最近演示的 RAMBO 攻击一样,PIXHELL 利用部署在受感染主机上的恶意软件创建一个声学通道,用于从音频间隙系统中泄露信息。这是由于 LCD 屏幕的内部组件和电源中包含电感器和电容器,导致它们以可听见的频率振动,当电流通过线圈时会产生高音调的噪音,这种现象称为线圈啸叫。具体来说,功耗的变化会在电容器中引起机械振动或压电效应,从而产生可闻噪声。影响消费模式的一个关键方面是被照亮的像素数量及其在屏幕上的分布,因为白色像素比深色像素需要更多的显示功率。“此外,当交流电 (AC) 通过屏蔽电容器时,它们会以特定频率振动,”Guri 博士说。“声源是由 LCD 屏幕的内部电气部分产生的。其特性受实际位图、图案和投影在屏幕上的像素强度的影响。“通过仔细控制屏幕上显示的像素图案,我们的技术可以从 LCD 屏幕产生特定频率的某些声波。”因此,攻击者可以利用该技术以声音信号的形式泄露数据,然后将其调制并传输到附近的 Windows 或 Android 设备,这些设备随后可以解调数据包并提取信息。话虽如此,值得注意的是,发出的声学信号的功率和质量取决于特定的屏幕结构、内部电源以及线圈和电容器的位置等因素。另一个需要强调的重要一点是,默认情况下,PIXHELL 攻击对查看 LCD 屏幕的用户可见,因为它涉及显示由交替的黑白行组成的位图模式。“为了保持隐蔽性,攻击者可能会使用一种在用户不在时进行传输的策略,”古里博士说。“例如,在下班时间对秘密频道进行所谓的’夜间攻击’,从而降低被揭露和暴露的风险。”然而,通过在传输之前将像素颜色降低到非常低的值,即使用 (1,1,1)、(3,3,3)、(7,7,7) 和 (15,15,15) 的 RGB 级别,可以在工作时间内将攻击转变为隐蔽攻击,从而给用户留下屏幕为黑色的印象。但这样做的副作用是“显着”降低声音制作水平。这种方法也不是万无一失的,因为如果用户“仔细”看屏幕,他们仍然可以辨认出异常模式。这不是第一次在实验性设置中克服 audio-gap 限制。Guri 博士之前进行的研究采用了计算机风扇 (Fansmitter)、硬盘驱动器 (Diskfiltration)、CD/DVD 驱动器 (CD-LEAK)、电源装置 (POWER-SUPPLaY) 和喷墨打印机 (Inkfiltration) 产生的声音。作为对策,建议使用声学干扰器来中和传输,监控音频频谱中是否有异常或不常见的信号,限制授权人员的物理访问,禁止使用智能手机,并使用外部摄像头来检测异常的调制屏幕模式。
页:
[1]