Новый способ обхода air gap использует SATA-кабель как радиоантенну

Новый способ обхода air gap использует SATA-кабель как радиоантенну

Новый способ обхода air gap использует SATA-кабель как радиоантенну

В университете им. Бен-Гуриона в Негеве, Израиль, разработали новую PoC-атаку на рабочие станции, отделенные от внешнего мира так называемым воздушным зазором (air gap). Как оказалось, использование SATA-кабеля для создания скрытого канала в таких случаях тоже позволяет украсть конфиденциальную информацию, несмотря на принятые меры защиты.

Изоляция сетей и отдельных устройств с использованием air gap предполагает отсутствие даже беспроводной связи с другими сегментами. Подобный метод защиты от шпионажа обычно используют госструктуры, военные организации и крупные компании. 

Стандарт шинного интерфейса SATA широко используется в современных компьютерах для обмена данными с носителями — жесткими дисками, SSD, CD/DVD. Техника извлечения информации с физически изолированных устройств, названная SATAn (PDF), предполагает использование таких кабелей в качестве антенны для скрытной передачи радиосигналов в диапазоне 6 ГГц.

Для проверки концепции в лабораторных условиях были созданы передатчик электромагнитных сигналов и приемник. В реальных условиях автор атаки может спрятать приемник не ближе 1 м от целевой системы или нанять инсайдера, который будет с ним прохаживаться по соседству.

Возможность использования SATA-кабеля для организации скрытого канала односторонней передачи данных с физически изолированного устройства была опробована на разных компьютерах. Результаты показали, что атаку можно проводить в режиме пользователя и даже с виртуальной машины; новый способ исправно работает, не мешая выполнению легитимных задач, — целевая информация собирается по крохам в фоновом режиме.

Концепций атаки на устройства и сети, защищенные воздушной прослойкой, разработано множество — с использованием электромагнитного излучения, магнитных и электрических свойств материалов, оптики, акустики и проч. В университете Бен-Гуриона давно занимаются такими исследованиями и за последние два года предложили несколько PoC, в том числе AIR-FI и LANtenna.

Известны также случаи преодоления air gap с помощью вредоносных программ, распространяемых в основном через USB-носители — примером могут служить целевые атаки Stuxnet, Agent.BTZ, ProjectSauron, USBCulprit.

Меры защиты от утечек при наличии воздушного зазора могут быть различными, но прежде всего нельзя допускать вторжение в свои сети. Способ физической изоляции не лишен недостатков, к тому же такую схему становится все труднее реализовать, особенно в распределенных сетях. Одной из альтернативных технологий, набирающих популярность, являются диоды данных — средства однонаправленной передачи данных, использование которых позволяет снять часть проблем, ассоциированных с air-gapping.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru