17 feb. 2021

AIR-FI: extraer datos a través de señales Wi-Fi Air-Gapped

El ataque AIR-FI se basa en la implementación de un malware especialmente diseñado que explota buses DDR SDRAM

para generar emisiones electromagnéticas en las bandas Wi-Fi de 2.4 GHz. Luego, transmite información sobre estas frecuencias que más tarde pueden ser interceptadas y decodificados por dispositivos cercanos con capacidad Wi-Fi. Algunos ejemplos de equipos que podríamos utilizar para enviar los datos a servidores remotos controlados por un atacante son:
  • Smartphones.
  • Ordenadores portátiles,
  • Dispositivos de IoT.

Los resultados de la investigación fueron publicados en un artículo del Dr. Mordechai Guri que es jefe de I+D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion del Negev de Israel. Este ataque AIR-FI se caracteriza porque no requiere hardware relacionado con Wi-Fi en los ordenadores. El atacante va a explotar los buses DDR SDRAM para generar emisiones electromagnéticas en las bandas de Wi-Fi de 2,4 GHz y codificar datos binarios encima. Los equipos con "espacio de aire" podemos definirlas como máquinas sin interfaces de red. En entornos de máxima seguridad, se pueden considerar una prioridad para mantener los datos confidenciales a salvo y reducir así el riesgo de fuga de datos. 

El Dr. Guri, a principios de mayo, también demostró POWER-SUPPLaY, un mecanismo separado que permite al malware explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos.

Aquí hay un vídeo en el que se muestra el funcionamiento de AIR-FI.

No siempre es posible utilizar AIR-FI

Si queremos realizar un ataque de este tipo, a menudo es primordial que las máquinas transmisoras y receptoras estén ubicadas físicamente próximas entre sí. Además, también se requiere que estén infectadas con el malware apropiado para establecer el enlace de comunicación. AIR-FI no depende de un transmisor Wi-Fi y tampoco necesita controladores de kernel, root o acceso a recursos de hardware para transmitir los datos.

El canal encubierto se puede utilizar incluso desde dentro de una máquina virtual aislada, y tiene una lista interminable de dispositivos habilitados para Wi-Fi que pueden ser pirateados para actuar como receptor. En un equipo que se implemente el malware a través de ingeniería social basta para poder realizar este ataque, algunos ejemplos que se podrían utilizar son:

  • Gusanos auto propagados como Agent.BTZ.
  • Una unidad flash USB manipulada.
  • Personas internas maliciosas.

Además, debemos infectar dispositivos con capacidad Wi-Fi ubicados en la red con espacio de aire, comprometiendo el firmware de los chips Wi-Fi, instalando el malware capaz de detectar y decodificar la transmisión, para, finalmente, exfiltrar los datos a través de Internet.

La explotación de los buses DDR SDRAM

El malware en el sistema de destino recopila los datos relevantes como documentos confidenciales, credenciales o claves de cifrado. A continuación, se codifican y transmiten en la banda Wi-Fi de 2.4 GHz. Así, usando las emisiones electromagnéticas generadas por los buses DDR SDRAM se solían intercambiar datos entre la CPU y la memoria.

Su funcionamiento se basa en la generación de señales de Wi-Fi, en la que el ataque hace uso del bus de datos para emitir radiación electromagnética a una frecuencia correlacionada con el módulo de memoria DDR y las operaciones de lectura o escritura. Esta investigación es un recordatorio más de que los componentes electromagnéticos, acústicos, térmicos y ópticos pueden ser utilizados para realizar ataques refinados de exfiltración contra equipos con espacios de aire.

El Dr. Guri para solucionar el problema, propone protecciones de zona para protegerse contra ataques electromagnéticos. Así, debemos permitir que los sistemas de detección de intrusos monitoricen e inspeccionen los procesos que realizan operaciones intensivas de transferencia de memoria y utilizar escudos de Faraday para bloquear el canal encubierto. El malware AIR-FI, nos ha demostrado cómo con este ataque se pueden robar datos de ordenadores con espacio de aire a un receptor Wi-Fi cercano a través de señales Wi-Fi.

Fuente: The Hacker News

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!