Nieuwe PIXHELL-aanval maakt gebruik van schermruis om gegevens van computers met een luchtspleet te exfiltreren

Een nieuwe zijkanaalaanval genaamd PIXHEL zou misbruikt kunnen worden om computers met een airgapp aan te vallen door de ‘audio gap’ te doorbreken en gevoelige informatie te ontfutselen door gebruik te maken van de ruis die door de pixels op het scherm wordt gegenereerd.

“Malware in de air-gap en audio-gap computers genereert gemanipuleerde pixelpatronen die ruis produceren in het frequentiebereik van 0 – 22 kHz”, aldus Dr. Mordechai Guri, hoofd van het Offensive Cyber ​​Research Lab bij de afdeling Software and Information Systems Engineering aan de Ben Gurion Universiteit van de Negev in Israël, in een onlangs gepubliceerd artikel.

“De kwaadaardige code maakt gebruik van het geluid dat door spoelen en condensatoren wordt gegenereerd om de frequenties die van het scherm komen te regelen. Akoestische signalen kunnen gevoelige informatie coderen en verzenden.”

Het bijzondere aan deze aanval is dat er geen speciale audiohardware, luidspreker of interne luidspreker op de gehackte computer nodig is. In plaats daarvan wordt gebruikgemaakt van het LCD-scherm om akoestische signalen te genereren.

Air-gapping is een cruciale beveiligingsmaatregel die is ontworpen om bedrijfskritische omgevingen te beschermen tegen mogelijke beveiligingsbedreigingen door ze fysiek en logisch te isoleren van externe netwerken (d.w.z. internet). Dit wordt doorgaans bereikt door netwerkkabels los te koppelen, draadloze interfaces uit te schakelen en USB-verbindingen uit te schakelen.

Dat gezegd hebbende, dergelijke verdedigingen kunnen worden omzeild door middel van malafide insiders of een compromis van de hardware- of software-toeleveringsketen. Een ander scenario zou kunnen zijn dat een nietsvermoedende werknemer een geïnfecteerde USB-stick aansluit om malware te installeren die een heimelijk kanaal voor gegevensexfiltratie kan activeren.

“Phishing, kwaadwillende insiders en andere social engineering-technieken kunnen worden gebruikt om personen met toegang tot het afgesloten systeem te misleiden en hen acties te laten ondernemen die de veiligheid in gevaar brengen, zoals het klikken op schadelijke links of het downloaden van geïnfecteerde bestanden”, aldus Dr. Guri.

“Aanvallers kunnen ook software supply chain-aanvallen gebruiken door softwaretoepassingsafhankelijkheden of bibliotheken van derden als doelwit te nemen. Door deze afhankelijkheden te compromitteren, kunnen ze kwetsbaarheden of schadelijke code introduceren die onopgemerkt kunnen blijven tijdens de ontwikkeling en het testen.”

Net als de onlangs gedemonstreerde RAMBO-aanval maakt PIXHELL gebruik van de malware die op de gecompromitteerde host is geïnstalleerd om een ​​akoestisch kanaal te creëren voor het lekken van informatie uit systemen met een audio-gap.

Dit wordt mogelijk gemaakt door het feit dat LCD-schermen spoelen en condensatoren bevatten als onderdeel van hun interne componenten en voeding. Hierdoor trillen ze op een hoorbare frequentie. Dit produceert een hoge toon wanneer er elektriciteit door de spoelen gaat, een fenomeen dat ‘coil whine’ wordt genoemd.

Specifiek kunnen veranderingen in stroomverbruik mechanische trillingen of piëzo-elektrische effecten in condensatoren veroorzaken, wat hoorbaar geluid produceert. Een cruciaal aspect dat het verbruikspatroon beïnvloedt, is het aantal pixels dat verlicht is en hun verdeling over het scherm, aangezien witte pixels meer stroom nodig hebben om weer te geven dan donkere pixels.

“Bovendien trillen de schermcondensatoren op specifieke frequenties wanneer er wisselstroom (AC) door de schermcondensatoren gaat,” aldus Dr. Guri. “De akoestische straling wordt gegenereerd door het interne elektrische deel van het LCD-scherm. De eigenschappen ervan worden beïnvloed door de werkelijke bitmap, het patroon en de intensiteit van de pixels die op het scherm worden geprojecteerd.”

“Door de pixelpatronen op ons scherm nauwkeurig te controleren, genereert onze techniek bepaalde akoestische golven op specifieke frequenties via LCD-schermen.”

Een aanvaller zou de techniek kunnen gebruiken om de gegevens te exfiltreren in de vorm van akoestische signalen. Deze signalen worden vervolgens gemoduleerd en verzonden naar een Windows- of Android-apparaat in de buurt. Dat apparaat kan vervolgens de pakketten demoduleren en de informatie extraheren.

Dat gezegd hebbende, moet worden opgemerkt dat het vermogen en de kwaliteit van het uitgezonden akoestische signaal afhankelijk zijn van onder andere de specifieke structuur van het scherm, de interne voeding en de locatie van de spoelen en condensatoren.

Een ander belangrijk punt om te benadrukken is dat de PIXHELL-aanval standaard zichtbaar is voor gebruikers die naar het LCD-scherm kijken, aangezien het gaat om het weergeven van een bitmappatroon dat bestaat uit afwisselende zwart-witte rijen.

“Om heimelijk te blijven, kunnen aanvallers een strategie gebruiken die verzendt terwijl de gebruiker afwezig is,” zei Dr. Guri. “Een zogenaamde ‘overnight attack’ op de geheime kanalen wordt bijvoorbeeld buiten kantooruren uitgevoerd, waardoor het risico om ontdekt en blootgesteld te worden, wordt verminderd.”

De aanval zou echter tijdens werkuren heimelijk kunnen worden uitgevoerd door de pixelkleuren vóór de transmissie terug te brengen tot zeer lage waarden, dat wil zeggen door gebruik te maken van de RGB-niveaus (1,1,1), (3,3,3), (7,7,7) en (15,15,15). Hierdoor zou de gebruiker de indruk krijgen dat het scherm zwart is.

Maar dit heeft als neveneffect dat de geluidsproductieniveaus “aanzienlijk” omlaag gaan. De aanpak is ook niet waterdicht, aangezien een gebruiker nog steeds afwijkende patronen kan onderscheiden als hij “zorgvuldig” naar het scherm kijkt.

Dit is niet de eerste keer dat beperkingen van audio-gap in een experimentele opstelling zijn overwonnen. Eerdere studies uitgevoerd door Dr. Guri hebben gebruik gemaakt van geluiden gegenereerd door computerventilatoren (Fansmitter), harde schijven (Diskfiltration), CD/DVD-stations (CD-LEAK), voedingen (POWER-SUPPLaY) en inkjetprinters (Inkfiltration).

Als tegenmaatregel wordt aanbevolen om een ​​akoestische jammer te gebruiken om de transmissie te neutraliseren, het audiospectrum te controleren op ongebruikelijke of ongewone signalen, de fysieke toegang te beperken tot geautoriseerd personeel, het gebruik van smartphones te verbieden en een externe camera te gebruiken om ongebruikelijke gemoduleerde schermpatronen te detecteren.

Thijs Van der Does