Перейти к содержанию

Air-Fi: еще один способ украсть данные с изолированного компьютера


Рекомендуемые сообщения

О «воздушном зазоре» и изолированных сетях мы уже рассказывали, но на всякий случай вот краткое содержание предыдущих серий.

Чтобы секретная информация точно не попала к злоумышленникам, ее помещают на устройствах, не подключенных ни к локальной сети, ни уж тем более к Интернету. Но заразить машину или сегмент сети — не так уж сложно (достаточно вспомнить историю Stuxnet). Гораздо сложнее вытащить наружу добытую таким образом секретную информацию. Иначе вся операция, как вы понимаете, теряет смысл.

Тут приходят на помощь всякие хитроумные методы, поиском которых занимается исследователь Мордехай Гури из Университета Бен-Гуриона. Не он один, конечно, но за последние годы именно при его участии открыли пару десятков таких методов.

И вот новое исследование, описывающее очередной способ вытащить данные из изолированного компьютера — на этот раз с помощью технологии Wi-Fi (в честь которой метод и получил название Air-Fi).

Как работает Air-Fi

Для успешного применения этого метода не требуется наличие Wi-Fi-оборудования в атакуемом компьютере. Вместо этого предварительно подсаженный на устройство зловред использует шину памяти DDR SDRAM для генерации электромагнитного излучения на частоте 2,4 ГГц. В изменениях этого излучения кодируются необходимые данные. Уловить и перехватить сгенерированные таким образом сигналы может любое (тоже соответственно скомпрометированное или подложенное неподалеку злоумышленниками) устройство с приемником Wi-Fi. Например, обычный смартфон или умная лампочка. Ну а дальше уже дело техники.

Метод Air-Fi особенно неприятен с точки зрения кибербезопасности, потому что он не требует администраторских прав на изолированном компьютере, все делается из-под обычной учетной записи рядового пользователя. Более того, от эксплуатации не спасет и виртуальная машина — она точно так же имеет доступ к модулям памяти.

Скорость и расстояние передачи данных

В зависимости от типа выбранного ресивера и используемого в зараженном компьютере аппаратного обеспечения исследователи смогли без ощутимых искажений передавать данные на расстоянии до 2-3 метров (в одном из случаев до 8) и со скоростью до 100 бит в секунду. То есть, как и с большинством подобных методов, не очень быстро. На передачу 20-мегабайтного файла уйдет 466 часов. С другой стороны, на текст песни Jingle Bells из 1300 байт (чуть больше 10 000 бит) понадобится полторы минуты. То есть связку логин-пароль таким образом украсть вполне реально.

Как бороться с Air-Fi

По классификации излучений Air-Fi относится к электромагнитным методам, соответственно, бороться с ним можно следующими мерами:

  • Зонирование помещений. Устройства с Wi-Fi ни при каких условиях не должны находиться рядом с изолированными системами.
  • Мониторинг подозрительных процессов в изолированной системе, который засечет подозрительные операции и поднимет тревогу.
  • Экранирование: можно посадить компьютер в клетку Фарадея.
  • Полный запрет всех посторонних устройств на предприятии, включая кнопочные телефоны. По-прежнему самый эффективный и радикальный способ.

В целом Air-Fi, как и все подобные методы, слишком сложен и нетороплив для того, чтобы им могли пользовать рядовые киберпреступники в повседневных атаках. Однако для промышленных шпионов и групп, работающих на государства, он может представлять интерес в силу упомянутой возможности работать без прав администратора. Подробнее о методе можно узнать из полного текста исследования.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.
      Чем опасна уязвимость CVE-2024-43451
      CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
      Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
       
      View the full article
    • Sergei Lomov
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • xSmashQQQ
      От xSmashQQQ
      Добрый вечер.
      Прошу помощи.
      Я захотел проверить свойства системы и зашел в панель управления-система. У меня она не открылась и я решил попробовать. Этот компьютер-свойства. Опять не открылось. Я попробовал вводить sfc /scannow, вроде что то исправила, но опять ничего не открылось, компьютер перезапускал. Мне нужна ваша помощь. Заранее спасибо
    • vika_
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


×
×
  • Создать...