LANTENNA：通过以太网电缆泄露，从物理隔离网络中窃取数据

LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables Emission

LANTENNA：通过以太网电缆泄露，从物理隔离网络中窃取数据
摘要：文章提出了一种名为LANTENNA的电磁攻击手段，可以从从隔离网络中获取敏感信息。目标计算机中的恶意代码收集敏感信息，然后通过以太网电缆发送电磁波将信息传递给附近的接收设备，最后发送给攻击者。作者在文中探讨了窃取信息的细节，研究了隐蔽信道的特性。值得注意的是，恶意代码可以在普通用户模式进程中运行，也可以在虚拟机中成功运行。最后，作者评估了不同场景下的隐蔽信道性能，并给出相应对策。实验表明，通过LANTENNA攻击，数据可以从被隔离的计算机泄露到几米之外的地方。
关键词：air-gap；外泄；隐蔽信道；数据泄露；以太网；局域网；电磁；

1. 背景

（1）会议/刊物级别

2021 IEEE 45th Annual Computers, Software, and Applications Conference (COMPSAC)
CCF C

（2）作者团队

Mordechai Guri ：Ben-Gurion University of the Negev, Israel（以色列,本·古里安大学）

（3）论文背景

信息是现代组织的宝贵资产。因此，攻击者费尽心思来获取目标组织的信息，包括文档和数据库等。在获取了数据之后，需要将信息从组织内部向外部进行传递，通常使用HTTPS，FTP, SMTP协议等隐蔽信道的方式进行信息传递。

A.物理隔离网络（气隙隔离网络，air-gap network）

气隙隔离的计算机与Internet[3]等外部广域网(WAN)完全隔离。包括金融、国防和关键基础设施部门在内的许多现代行业都将数据保存在气隙隔离网络中。例如，SIPRNet(秘密互联网协议路由器网络)是美国国防部用来交换机密信息的一个隔离和互连网络系统。

B.气隙网络渗透

从理论上讲，气隙网络是抵御网络威胁的终极保护手段，但是事实表明，气隙网络并不绝对安全。一个例子是“震网”病毒，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备。病毒可以通过U盘等可移动设备传播，也可以是供应链或第三方软件传播。另一种方式是利用恶意内部人员进行所谓的“邪恶女仆”攻击，或者利用被欺骗的组织内部人员。

2019年，印度库丹库拉姆核电站在当年早些时候遭到了一次成功的网络攻击。2020年12月，SolarWinds的黑客入侵了数千家使用其产品的公司和政府办公室。这起事件被认为是世界上有史以来规模最大、最复杂的攻击，涉及一个高度隐蔽的植入公司产品的后门。这些类型的技术允许攻击者将目标恶意软件插入到高度安全的网络和环境中。

C.气隙网络攻击中的隐蔽信道

当攻击者在目标网络中植入高级可持续性威胁（APT）之后，就进入了杀伤链的下一阶段。
攻击者在这一阶段首先会收集敏感信息，如果网络不是物理隔离网络，攻击者会通过已知的internet协议（HTTPS,FTP,SSH,SMTP）中的隐蔽信道将信息传递出去。然而如果是气隙网络，攻击者必须通过气隙隐蔽信道将信息外泄。（声光热力电方式）

D.文章贡献

1. 介绍了一种新型的电磁隐蔽信道——LANTENNA，它利用以太网电缆发射电磁波达到信息外泄目的。
2. 证明了任何二进制数据都可以在无线电信号上进行调制。
3. 演示了区域内标准软件定义无线电接收器（SDR）可以解码信息，然后通过互联网将信息传递给攻击者。

2.攻击模型

对抗性攻击模型包括两个主要步骤:感染气隙环境和数据外泄。在攻击的第一步，气隙环境被恶意软件感染，通常以APT的形式。

（1）侦察和感染

APT杀伤链模型是洛克希德·马丁公司开发的，将有针对性的网络攻击分为7个阶段。APT入侵的七个常见阶段是侦察、武器化、投放、利用、安装、指挥和部署。控制和数据外泄。在作者的工作范围内，要讨论的有关阶段是侦察、投放和数据外泄。在侦察阶段，攻击者利用各种工具和技术尽可能多地收集目标的信息。在确定了初始目标后，攻击者可能会通过各种感染载体在网络上安装恶意软件:供应链攻击、被污染的USB驱动器、社会工程技术、被盗的证书，或者使用恶意的内部人员或被欺骗的员工。请注意，高度安全的网络感染被证明是可行的，正如过去十年中发生的许多事件[37]，[14]，[7]，[5]，[8]所证明的那样。在这一点上，APT的目标是升级特权并在网络中传播，以加强其在组织中的立足点。

（2）数据外泄

作为外泄阶段的一部分，攻击者可能会从被入侵的计算机收集数据。被盗的信息可以是文档、数据库、访问凭证、加密密钥等。
1)数据传输:一旦收集到数据，恶意软件利用隐蔽通道进行外泄。在LANTENNA的例子中，它调制数据并通过以太网电缆发出的无线电波进行无线传输。
2)数据接收:隐蔽传输可以被附近的无线电接收器接收，解码后发送给攻击者。接收硬件可能被恶意的内部人员携带或隐藏在该区域。
攻击如图1所示。气隙工作站中的恶意软件会从以太网线中产生电磁辐射。二进制信息在信号的基础上进行调制，并被附近的无线电接收器截获。

3. 技术背景

以太网线缆用于连接局域网内的工作站、服务器、打印机、摄像机、路由器和交换机等网络设备。网线由8根线绞成4对组成。以太网电缆有几个类别(cat)，它们定义了诸如工作频率、屏蔽和带宽等参数。常用的网线有:Cat 5、Cat 5e、Cat 6、Cat 6a、Cat 7、Cat 7a。每一类的主要参数列于表I。
Cat 5和Cat 5e(5类增强)在物理水平上相似，它们都在100 MHz的最大频率下工作。然而，Cat 5电缆支持10- 100mbps的网络带宽，而Cat 5e电缆支持高达1gbps的网络带宽。此外，Cat 5e电缆的线比Cat5电缆的线绞得更紧，这使它们更能保护通信通道之间的不必要信号推断(串扰)。Cat 5e是目前家庭和小型办公设备中最常用的电缆。

4. 信号传输

本节介绍信号产生技术、数据调制和数据传输协议。

4.1 信号生成

作者使用两种技术来调节以太网电缆发出的电磁信号:
(1)以太网速度切换
(2)原始数据包传输

4.2 以太网速度切换

以太网电缆发射的电磁波频率为125 MHz及其谐波(如250 MHz和375 MHz)。我们发现，通过改变适配器的速度或开关，可以调节电磁发射及其振幅。图2显示了交替序列10101010…使用以太网速度切换方法。在这种情况下，数据通过以太网电缆从一个空气隔离的计算机传输，并在200厘米的距离接收。可以看到信号包裹在125.010 MHz左右。

4.3 原始数据包传输

网卡活动会影响以太网线铜线上的电磁信号。我们发现，通过发送原始UDP数据包，我们可以触发和调节以太网电缆的发射。图3显示了交替序列10101010…采用原始数据包传输方式。在这种情况下，数据通过以太网电缆从一个封闭的计算机传输，并在相距200厘米的距离接收。可以看到，信号被包裹在250.010 MHz左右，比切换速度法产生的信号要窄。调制器伪代码如算法1所示。调制函数接收要发送的位数组(bits)和每个位的时间(bitTimeMillis)。如果要发送的位为1，该函数将向网络发送UDP报文，否则该函数将休眠相同的时间。每个UDP报文的有效载荷为1480字节。有效负载由一个U字符序列组成，它是二进制表示中的备用位(01010101)。完整的UDP帧如图4所示。

4.4 编码和数据包帧

请注意，信号的振幅可能会随着时间而改变，因此，一个简单的OOK调制在接收过程中失败。我们使用曼彻斯特编码，因为通过分析位的两半期间振幅的变化来解调一个位，而不需要整体阈值。图5描述了数据包的曼彻斯特编码:enable = 0xAA, DATA = DATA, CRC8 = 0xB6。

1. 开始：报文以0xAA十六进制值开始。这个二进制的10101010序列允许接收机与每个数据包的开头同步，并确定载波振幅和1 / 0阈值。
2. 数据：有效载荷是数据包中传输的原始二进制数据。它由32位组成。
3. CRC-8：对于错误检测，我们使用CRC-8(循环冗余检查)错误检测算法。CRC根据负载数据计算，并在每个包的末尾添加。在接收端，如果接收到的CRC和计算出的CRC不同，则忽略数据包。

5. 接收信号（解调）

算法2给出了解调器的伪代码。我们提供了一个软件定义的无线电(SDR)接收器的实现。解调函数是基于对目标频段(125 MHz、250 MHz、375 MHz等)的FFT信息进行采样和处理。在第2- 3行，SDR设备被初始化，接收缓冲区被配置为信道监视频率(MHz)、采样率(sampleRate)和缓冲区大小(windowsPerBit)。解调器对目标频率的数据进行采样，并将其分割为windowSize大小的窗口。算法对每个窗口进行估计功率谱密度使用韦尔奇的方法(第9- 13行)。然后使用detectEnable例程检测启用序列(10101010)。然后使用曼彻斯特方案(SampleToBitManchester)对比特进行解码，并确定1位和0位的阈值(振幅)(第14-18行)。最后，位被解调并添加到输出向量中(第18-21行)。

6. 实验与评估

6.1 实验基础

1)接收器:对于接收，我们使用了两种软件定义无线电(SDR)接收器，如表三所示。R820T2 RTL-SDR能够在窄带采样高达16位，RF覆盖范围从30 MHz到1.8 GHz或更多。HackRF设备的工作频率为1 MHz到6 GHz, 8位正交采样(8位I和8位Q)，两个接收器都兼容GNU Radio, SDR#等。我们通过USB接口将接收器连接到一台笔记本电脑上，它使用的是Intel Core i7-4785T和Ubuntu 16.04.1 4.4.0操作系统。
2)发射机:对于传输，我们使用了表四中列出的三种现成的工作站。计算机配备了10/100/ 1000mbps千兆以太网卡。我们测试了表五中列出的三种广泛使用的Cat 5e和Cat 6A以太网电缆。我们还测试了一台笔记本电脑和一个嵌入式设备(树莓派)，以评估对这些类型设备的攻击。下面的小节介绍了两种传输方法的结果。

7. 对策

7.1 分隔

北约电信安全标准(例如，NSTISSAM TEMPEST/2-95[34])提出了区域隔离，以防止TEMPEST(电信电子材料保护免受散发虚假传输的威胁)和其他类型的辐射能量攻击。在我们的情况下，任何无线电接收器都应该被禁止进入气隙网络区域。

7.2 检测

对于以太网速度切换方法，可以在用户和内核级别监视网络接口卡链路活动。在我们的例子中，任何链路状态的改变都应该触发警报。例如，应该检查使用ethtool修改接口配置的情况。如果接口速度在短时间内切换，活动将被阻塞。然而，用户和内核防御组件都可以被复杂的恶意软件(如rootkits)所规避。此外，恶意软件可能会将带有信号生成代码的shellcode注入到合法的、可信的进程中，以绕过安全产品。为了克服规避技术，可以在管理程序级别部署解决方案(图9)。在这种方法中，管理程序级别的防火墙检查网络接口的更改，并检查来自活动虚拟机的UDP数据包。不正常的活动会被记录，发出的报文会被阻断。

7.3 信号监测

另一种方法是使用射频监测硬件设备，以识别LANETNNA频带中的异常。然而，由于本地网络设备的合法活动(如UDP流量)，这种检测方法将导致许多误报。

7.4 信号干扰

通过干扰天线的频带可以阻断隐蔽信道。现代干扰器是一种带有射频(RF)硬件的信号阻断设备，可以在所需的整个频段(例如，250兆赫)内传输无线电波。干扰机产生高功率，持续的无线电传输，跨越频道和中断任何隐蔽的频道传输。另一种方法是产生随机流量，从而中断网络中其他设备可能的隐蔽传输。在这种情况下，一个联网的设备，如PC或树莓派，随机时间和不同的流量产生UDP流量。

7.5 电缆屏蔽

金属屏蔽是一种用来阻止或限制电磁场干扰或从屏蔽导线发出的一种措施。以太网电缆屏蔽通过限制由LANTENNA技术产生的信号泄漏来应对本文提出的威胁。有不同的技术可以用于屏蔽以太网电缆。最常见的是在每对双绞线周围放置屏蔽，以减少一般电磁发射和电线之间的内部串扰。通过在电缆的所有电线周围放置金属屏蔽来增加保护是可能的。表13包含了用于标记不同类型以太网电缆屏蔽的代码。

8. 总结

在这篇论文中，我们展示了攻击者可以利用以太网电缆从空隙网络中窃取数据。恶意软件安装在一个安全的工作站，笔记本电脑或嵌入式设备可以调用各种网络活动，这些活动从以太网电缆中产生电磁发射。我们提出了两种信号生成方法:网络速度切换和UDP数据包传输。我们实现了恶意软件(LANTENNA)，并讨论了调制器和解调器的实现细节。我们从带宽和距离两个方面对这种隐蔽信道进行了评估，并提出了一套对策。我们的结果表明，通过使用电磁隐蔽通道，敌人可以将数据传输到距离受损的空气隙网络几米远的地方。此外，我们还证明了这种攻击可以从没有根权限的普通用户级进程发起，也可以从虚拟机中成功地发起。

9.相关工作

库恩指出，利用计算机显示单元的电磁辐射来隐藏数据[35]是可能的。2014年推出的AirHopper是一款恶意软件，能够通过屏幕电缆[20]，[22]发射的FM无线电波，将数据从隔离的电脑泄露到附近的智能手机。2015年，古里等人推出了GSMem[19]，这是一种恶意软件，利用蜂窝频率将数据从隔离的电脑传输到附近的手机。USBee是一种利用USB数据总线产生电磁信号[21]的恶意软件。为了防止电磁泄漏，法拉第笼可以用来屏蔽敏感系统。古里等人提出了ODINI[32]和MAGNETO[16]两种恶意软件，它们可以通过计算机CPU产生的磁场，从法拉第封闭的气隙计算机中窃取数据。通过MAGNETO，作者使用集成在智能手机中的磁性传感器来接收隐蔽信号。2019年，研究人员展示了如何通过调制电力线[28]上的二进制信息，从隔离的计算机中泄露数据。一些研究已经提出利用计算机的光发射进行隐蔽通信。Loughry和Guri演示了键盘led的使用[38][27]。Guri使用硬盘指示灯LED[30]，路由器和交换机LED[29]，以及安全摄像头及其IR LED[17]，以从气隙网络中过滤数据。BitWhisper[24]是一个基于热的隐蔽通道，通过隐藏温度变化中的数据，使空气间隙计算机之间的双向通信。Hanspach[33]利用听不见的声音在装有扬声器和麦克风的气隙笔记本电脑之间建立隐蔽通道。Guri等人介绍了Fansmitter[26]、diskfilter[25]和CD- leak[15]恶意软件，这些恶意软件通过电脑风扇、硬盘驱动器和CD/DVD驱动器故意产生的噪音，促进了从空气隔离的计算机中泄漏数据。