0xNews - 이더넷 케이블을 통한 데이터 탈취 연구 시나리오 발표

이스라엘 Ben Gurion 대학교 발표

이더넷 케이블을 전송 안테나로 사용하여 Air-Gapped 시스템에서 민감 정보 탈취 가능 확인

LANtenna Attack 로 명명

에어갭 컴퓨터의 악성 코드가 민감한 데이터를 축적

이더넷 케이블이 마치 안테나인 것처럼 활용하여 케이블에서 흘러나오는 전파를 통해 인코딩할 수 있도록 함

전송된 신호는 무선으로 근처의 SDR Software-Defined Radio 수신기에 의해 수집 혹은 저장

데이터가 디코딩되어 인접한 방이나 지역에 있는 공격자에게 전달

악성코드는 일반 사용자 모드 프로세스에서 실행될 수 있으며 가상 머신 내에서도 성공적으로 작동시킴으로써 가상머신의 호스트에 영향을 줄 수 있음

에어갭 네트워크는 하나 이상의 컴퓨터가 인터넷이나 근거리 통신망과 같은 다른 네트워크에서 물리적으로 격리되도록 환경이 구성

정보 유출이나 기타 사이버 위협을 최소화하기 위한 네트워크 보안 조치로 설계

이러한 네트워크의 일부인 컴퓨터에는 무선 네트워크 인터페이스가 영구적으로 비활성화되거나 물리적으로 제거되기 때문에 기본적으로 유선을 통한 통신 연결

LANtenna 공격은 에어갭 워크스테이션의 악성 코드를 사용하여 이더넷 케이블이 125MHz 주파수 대역에서 전자기 방출을 생성하도록 유도한 다음 변조

이후 근처의 무선 수신기에 의해 가로채어 작동

개념 증명 PoC 데모에서 이더넷 케이블을 통해 에어갭 컴퓨터에서 전송된 데이터는 200cm 떨어진 거리에서 수신된 것으로 확인

이러한 공격에 대한 대책으로 에어갭 네트워크와 그 주변에서 무선 수신기 사용을 금지

모든 은밀한 채널에 대한 네트워크 인터페이스 카드 링크 레이어 활동에 대한 모니터링과 신호를 재밍

금속 차폐를 사용하여 간섭하는 전자기장을 제한하여야 함

이번 연구는 공격자가 이더넷 케이블을 악용하여 에어갭 네트워크에서 데이터를 유출할 수 있음을 확인

보안 워크스테이션, 노트북, 임베디드 기기에 설치된 맬웨어는 이더넷 케이블에서 전자기 방출을 생성하는 다양한 네트워크 활동을 유발할 수 있음

전용적이고 값비싼 안테나는 더 나은 거리를 제공하며 일부 케이블로 수십 미터에 도달 가능

openLab