0xNews - Wi-Fi 를 통해 전산실과 분리된 컴퓨팅 공간에서의 데이터 추출 가능

AIR-FI 로 명명

2.4GHz Wi-Fi 대역에서 전자기 방출을 생성하는 DDR SDRAM 버스 악용

이미 손상시킨 시스템에 특별히 설계된 맬웨어 Malware 배포 수행 가능

공격자가 제어하는 원격 서버에 데이터를 보내기 전 스마트폰, 노트북, IoT 기기와 같은 근처 Wi-Fi 지원 기기에서 디코딩하여 인터넷이 분리된 전산실에서도 정보를 외부로 전달 가능

AIR-FI: Generating Covert Wi-Fi Signals from Air-Gapped Computers 이름으로 논문 발표

논문에서는 AIR-FI 는 에어갭 Air-Gapped 컴퓨터에서 Wi-Fi 관련 하드웨어가 없어도 외부로 정보 전달이 가능

공격자는 DDR SDRAM 버스를 이용하여 2.4GHz Wi-FI 대역에서 전자기 방출을 생성

이 위에 이진 데이터를 인코딩

에어갭 컴퓨터는 네트워크 인터페이스가 없는 시스템 환경을 지칭

데이터 유출 위험을 감소하기 위해 민감한 데이터가 관련된 환경에서는 필수적인 환경

이에 이러한 시스템에 대한 공격을 수행하기 위해서는 전송과 수신 시스템 모두 물리적으로 근접한 위치에 있어야 하며 통신 링크를 설정하기 위해 악성코드에 감염된 상태여야 함

그러나 이번 AIR-FI 는 신호를 생성하기 위해 Wi-Fi 송신기에 의존하지 않고 커널 드라이버, 루트와 같은 특수 권한 혹은 데이터 전송을 위한 하드웨어 리소스에 대한 접속을 유도하지 않음

또한 은밀한 채널은 격리된 가상머신 내에서도 작동

공격자가 해킹에 성공하여 잠재적인 수신가 역할을 할 수 있는 Wi-Fi 지원 장치 목록은 매우 많음

AIR-FI 를 통한 전송을 감지하고 디코딩하여 인터넷을 통해 데이터를 유출할 수 있는 맬웨어를 설치하는 것

이는 Wi-Fi 칩의 펌웨어를 손상시켜 에어갭 네트워크에 함께 배치된 Wi-Fi 지원 기기를 감염하는 것을 목표로 함

이를 통해 맬웨어가 감염되면 대상 시스템의 악성 코드가 관련 데이터를 수집

이후 Wi-Fi 대역에서 인코딩되어 2.4GHz 주파수에서 생성된 전자기 방출을 사용하여 전송

CPU 와 메모리 사이에서 데이터를 교환하는데 사용되는 DDR SDRAM 버스는 에어갭 격리를 무효화

Wi-Fi 신호를 생성하기 위해 공격은 데이터 버스 혹은 메모리 버스를 사용

DDR 메모리 모듈과 현재 시스템에서 실행 중인 프로세스에 의해 실행되는 메모리 읽기 쓰기 작업과 관련된 주파수에서 전자기 방사 emit electromagnetic radiation

데모 동영상

AIR-FI 는 RAM 이나 하드웨어 구성이 다른 4가지 유형의 워크 스테이션과 수신기 역할을 하는 소프트웨어 정의 라디오 SDR Software-Defined Radio 과 USB Wi-Fi 네트워크 어댑터를 사용하여 평가

은밀한 채널이 효과적으로 유지될 수 있음을 발견

이를 통해 최대 수미터거리에서 사용되는 수신기의 유형 및 모드에 따라 1~100 bit/sec 범위의 비트 전송률 달성

에어갭 컴퓨터와 네트워크 공격을 계속 연구하는 이스라엘 연구팀은 이번 연구 외 외부 전자기 공격으로부터 보호하기 위해 다음과 같이 제안

침입 감지 시스템이 집중적인 메모리 전송 작업을 수행

신호를 방해하고 페러데이 실드를 사용

은밀한 채널을 차단하는 프로세스를 모니터링하고 검사할 수 있도록 제안

AIR-FI 악성코드는 공격자가 Wi-Fi 신호를 통해 에어갭 컴퓨터에서 근처 Wi-Fi 수신기로 데이터를 유출하는 방법을 지원

현대 IT환경에서는 스마트폰, 노트북, IoT 기기, 센서, 임베디드 시스템, 스마트워치, 기타 다양한 웨어러블 기기와 같은 다양한 유형의 Wi-Fi 지원 기기 설치되어 있음

공격자는 이러한 장비에 대해 공격을 우선 수행한 후 AIR-FI 수신하는 공격 시나리오 수립 가능

openLab