聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
以色列古里安大学的一个研究小组已证明,即使目标设备位于法拉第笼内,位于被隔离计算机上的恶意软件也能通过磁场渗透敏感数据。
研究人员创建了两种 PoC 恶意软件,通过利用设备 CPU 产生的磁场来窃取数据。
磁场是通过移动电荷(如流经导线的电流)和磁偶极子产生的力场,它能够对附近的其它移动电荷和磁偶极子施加力量。磁场的属性是方向和强度。
现代计算机中的 CPU 产生低频磁信号,研究人员观测认为这些信号能通过气隙传输数据。攻击者首先需要通过某种方法在他们想要窃取数据的气隙设备上植入一个恶意软件。“震网”攻击和类似事件证明,攻击者完全能够完成这个任务。
植入成功后,恶意软件就可以收集少量信息如键击、密码和加密密钥,并将信息发送到一个附近的接收器中。恶意软件能通过调节 CPU 的工作负荷来操纵 CPU 产生的磁场。例如,通过计算过载处理器增加功耗并产生更强的磁场。
所收集数据可通过研究人员提出的两种方案之一进行调制。通过使用开关键控 (OOK) ,攻击者能够通过磁场产生的信号发送 “0” 或 “1” 位。信号存在为 “1”,不存在则为 “0”。
由于信号频率也可遭操纵,因此恶意软件能够通过某个特定频率发送 “1” 位,并以不同的频率发送 “0” 位。这就是二进制频移监控 (FSK) 调制。
研究人员已经开发出依靠磁场从气隙设备中窃取数据的两款恶意软件。其中一款名为 “ODINI”,能够将数据传输到一个附近的磁场传感器中。第二款恶意软件名为 “MAGNETO”,它将数据传输到智能手机中,而智能手机通常具有磁力计科确定设备的方向。
在 ODINI 的案例中,研究人员设法在100到150厘米的距离内将最大传输速率成功达到40比特/秒。而 MAGNETO 的效率较低,在12.5厘米的距离范围内,速度仅为0.2—5比特/秒。由于传输一个字符需要8位,所以这些方法可有效窃取小部分敏感信息如密码。
研究人员证明称,ODINI 和 MAGNETO 在目标气隙设备位于法拉第笼的情况下也能起作用。法拉第笼用于阻拦电磁场如 WiFi、蓝牙、手机和其它无线通信。
就 MAGNETO 而言,即使智能手机放置在法拉第笼内或者手机被设置为“飞行模式”,恶意软件也能传输数据。
研究人员已发现从气隙网络中窃取数据的多种方法,如通过红外摄像机、路由器 LED、扫描器、硬盘活动 LED、USB 设备、硬盘驱动和风扇发出的噪音以及热量散发等方法窃取敏感信息。
关联阅读
黑客能利用 Google Apps Script 自动下载恶意软件
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/stealthy-data-exfiltration-possible-magnetic-fields