LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables Emission

LANTENNA：通过以太网电缆泄露，从物理隔离网络中窃取数据
摘要：文章提出了一种名为LANTENNA的电磁攻击手段，可以从从隔离网络中获取敏感信息。目标计算机中的恶意代码收集敏感信息，然后通过以太网电缆发送电磁波将信息传递给附近的接收设备，最后发送给攻击者。作者在文中探讨了窃取信息的细节，研究了隐蔽信道的特性。值得注意的是，恶意代码可以在普通用户模式进程中运行，也可以在虚拟机中成功运行。最后，作者评估了不同场景下的隐蔽信道性能，并给出相应对策。实验表明，通过LANTENNA攻击，数据可以从被隔离的计算机泄露到几米之外的地方。
关键词：air-gap；外泄；隐蔽信道；数据泄露；以太网；局域网；电磁；

1. 背景

（1）会议/刊物级别

2021 IEEE 45th Annual Computers, Software, and Applications Conference (COMPSAC)
CCF C

（2）作者团队

Mordechai Guri ：Ben-Gurion University of the Negev, Israel（以色列,本·古里安大学）

3. 技术背景

以太网线缆用于连接局域网内的工作站、服务器、打印机、摄像机、路由器和交换机等网络设备。网线由8根线绞成4对组成。以太网电缆有几个类别(cat)，它们定义了诸如工作频率、屏蔽和带宽等参数。常用的网线有:Cat 5、Cat 5e、Cat 6、Cat 6a、Cat 7、Cat 7a。每一类的主要参数列于表I。
Cat 5和Cat 5e(5类增强)在物理水平上相似，它们都在100 MHz的最大频率下工作。然而，Cat 5电缆支持10- 100mbps的网络带宽，而Cat 5e电缆支持高达1gbps的网络带宽。此外，Cat 5e电缆的线比Cat5电缆的线绞得更紧，这使它们更能保护通信通道之间的不必要信号推断(串扰)。Cat 5e是目前家庭和小型办公设备中最常用的电缆。

4.3 原始数据包传输

网卡活动会影响以太网线铜线上的电磁信号。我们发现，通过发送原始UDP数据包，我们可以触发和调节以太网电缆的发射。图3显示了交替序列10101010…采用原始数据包传输方式。在这种情况下，数据通过以太网电缆从一个封闭的计算机传输，并在相距200厘米的距离接收。可以看到，信号被包裹在250.010 MHz左右，比切换速度法产生的信号要窄。调制器伪代码如算法1所示。调制函数接收要发送的位数组(bits)和每个位的时间(bitTimeMillis)。如果要发送的位为1，该函数将向网络发送UDP报文，否则该函数将休眠相同的时间。每个UDP报文的有效载荷为1480字节。有效负载由一个U字符序列组成，它是二进制表示中的备用位(01010101)。完整的UDP帧如图4所示。

4.4 编码和数据包帧

请注意，信号的振幅可能会随着时间而改变，因此，一个简单的OOK调制在接收过程中失败。我们使用曼彻斯特编码，因为通过分析位的两半期间振幅的变化来解调一个位，而不需要整体阈值。图5描述了数据包的曼彻斯特编码:enable = 0xAA, DATA = DATA, CRC8 = 0xB6。

1. 开始：报文以0xAA十六进制值开始。这个二进制的10101010序列允许接收机与每个数据包的开头同步，并确定载波振幅和1 / 0阈值。
2. 数据：有效载荷是数据包中传输的原始二进制数据。它由32位组成。
3. CRC-8：对于错误检测，我们使用CRC-8(循环冗余检查)错误检测算法。CRC根据负载数据计算，并在每个包的末尾添加。在接收端，如果接收到的CRC和计算出的CRC不同，则忽略数据包。

5. 接收信号（解调）

算法2给出了解调器的伪代码。我们提供了一个软件定义的无线电(SDR)接收器的实现。解调函数是基于对目标频段(125 MHz、250 MHz、375 MHz等)的FFT信息进行采样和处理。在第2- 3行，SDR设备被初始化，接收缓冲区被配置为信道监视频率(MHz)、采样率(sampleRate)和缓冲区大小(windowsPerBit)。解调器对目标频率的数据进行采样，并将其分割为windowSize大小的窗口。算法对每个窗口进行估计功率谱密度使用韦尔奇的方法(第9- 13行)。然后使用detectEnable例程检测启用序列(10101010)。然后使用曼彻斯特方案(SampleToBitManchester)对比特进行解码，并确定1位和0位的阈值(振幅)(第14-18行)。最后，位被解调并添加到输出向量中(第18-21行)。

6. 实验与评估

6.1 实验基础

1)接收器:对于接收，我们使用了两种软件定义无线电(SDR)接收器，如表三所示。R820T2 RTL-SDR能够在窄带采样高达16位，RF覆盖范围从30 MHz到1.8 GHz或更多。HackRF设备的工作频率为1 MHz到6 GHz, 8位正交采样(8位I和8位Q)，两个接收器都兼容GNU Radio, SDR#等。我们通过USB接口将接收器连接到一台笔记本电脑上，它使用的是Intel Core i7-4785T和Ubuntu 16.04.1 4.4.0操作系统。
2)发射机:对于传输，我们使用了表四中列出的三种现成的工作站。计算机配备了10/100/ 1000mbps千兆以太网卡。我们测试了表五中列出的三种广泛使用的Cat 5e和Cat 6A以太网电缆。我们还测试了一台笔记本电脑和一个嵌入式设备(树莓派)，以评估对这些类型设备的攻击。下面的小节介绍了两种传输方法的结果。

7.3 信号监测

另一种方法是使用射频监测硬件设备，以识别LANETNNA频带中的异常。然而，由于本地网络设备的合法活动(如UDP流量)，这种检测方法将导致许多误报。

7.4 信号干扰

通过干扰天线的频带可以阻断隐蔽信道。现代干扰器是一种带有射频(RF)硬件的信号阻断设备，可以在所需的整个频段(例如，250兆赫)内传输无线电波。干扰机产生高功率，持续的无线电传输，跨越频道和中断任何隐蔽的频道传输。另一种方法是产生随机流量，从而中断网络中其他设备可能的隐蔽传输。在这种情况下，一个联网的设备，如PC或树莓派，随机时间和不同的流量产生UDP流量。

7.5 电缆屏蔽

金属屏蔽是一种用来阻止或限制电磁场干扰或从屏蔽导线发出的一种措施。以太网电缆屏蔽通过限制由LANTENNA技术产生的信号泄漏来应对本文提出的威胁。有不同的技术可以用于屏蔽以太网电缆。最常见的是在每对双绞线周围放置屏蔽，以减少一般电磁发射和电线之间的内部串扰。通过在电缆的所有电线周围放置金属屏蔽来增加保护是可能的。表13包含了用于标记不同类型以太网电缆屏蔽的代码。

8. 总结

在这篇论文中，我们展示了攻击者可以利用以太网电缆从空隙网络中窃取数据。恶意软件安装在一个安全的工作站，笔记本电脑或嵌入式设备可以调用各种网络活动，这些活动从以太网电缆中产生电磁发射。我们提出了两种信号生成方法:网络速度切换和UDP数据包传输。我们实现了恶意软件(LANTENNA)，并讨论了调制器和解调器的实现细节。我们从带宽和距离两个方面对这种隐蔽信道进行了评估，并提出了一套对策。我们的结果表明，通过使用电磁隐蔽通道，敌人可以将数据传输到距离受损的空气隙网络几米远的地方。此外，我们还证明了这种攻击可以从没有根权限的普通用户级进程发起，也可以从虚拟机中成功地发起。

9.相关工作

库恩指出，利用计算机显示单元的电磁辐射来隐藏数据[35]是可能的。2014年推出的AirHopper是一款恶意软件，能够通过屏幕电缆[20]，[22]发射的FM无线电波，将数据从隔离的电脑泄露到附近的智能手机。2015年，古里等人推出了GSMem[19]，这是一种恶意软件，利用蜂窝频率将数据从隔离的电脑传输到附近的手机。USBee是一种利用USB数据总线产生电磁信号[21]的恶意软件。为了防止电磁泄漏，法拉第笼可以用来屏蔽敏感系统。古里等人提出了ODINI[32]和MAGNETO[16]两种恶意软件，它们可以通过计算机CPU产生的磁场，从法拉第封闭的气隙计算机中窃取数据。通过MAGNETO，作者使用集成在智能手机中的磁性传感器来接收隐蔽信号。2019年，研究人员展示了如何通过调制电力线[28]上的二进制信息，从隔离的计算机中泄露数据。一些研究已经提出利用计算机的光发射进行隐蔽通信。Loughry和Guri演示了键盘led的使用[38][27]。Guri使用硬盘指示灯LED[30]，路由器和交换机LED[29]，以及安全摄像头及其IR LED[17]，以从气隙网络中过滤数据。BitWhisper[24]是一个基于热的隐蔽通道，通过隐藏温度变化中的数据，使空气间隙计算机之间的双向通信。Hanspach[33]利用听不见的声音在装有扬声器和麦克风的气隙笔记本电脑之间建立隐蔽通道。Guri等人介绍了Fansmitter[26]、diskfilter[25]和CD- leak[15]恶意软件，这些恶意软件通过电脑风扇、硬盘驱动器和CD/DVD驱动器故意产生的噪音，促进了从空气隔离的计算机中泄漏数据。

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树跨区域网络的通信学习网络层的作用22327 人正在系统学习中

来源：一智哇