Skip to main content
QUICK REVIEW

[논문 리뷰] xLED: Covert Data Exfiltration from Air-Gapped Networks via Router LEDs

Mordechai Guri, Boris Zadov|arXiv (Cornell University)|2017. 06. 04.
Advanced Steganography and Watermarking Techniques참고 문헌 17인용 수 22
한 줄 요약

이 논문은 공기 격리 네트워크에서 라우터 및 스위치 상태 LED를 조작하여 조작된 빛 신호를 통해 정보를 전송함으로써 데이터를 유출하는 코어프트 채널인 xLED를 제시한다. 이 공격은 진폭 및 주파수 변조를 사용하여 10 bit/sec에서 1,000 bit/sec 이상의 데이터 전송 속도를 달성하며, 원격 카메라 또는 광센서에 의해 캡처된다. 이는 고립된 네트워크에서 실용적인 사이드채널 유출 벡터를 보여준다.

ABSTRACT

In this paper we show how attackers can covertly leak data (e.g., encryption keys, passwords and files) from highly secure or air-gapped networks via the row of status LEDs that exists in networking equipment such as LAN switches and routers. Although it is known that some network equipment emanates optical signals correlated with the information being processed by the device ('side-channel'), intentionally controlling the status LEDs to carry any type of data ('covert-channel') has never studied before. A malicious code is executed on the LAN switch or router, allowing full control of the status LEDs. Sensitive data can be encoded and modulated over the blinking of the LEDs. The generated signals can then be recorded by various types of remote cameras and optical sensors. We provide the technical background on the internal architecture of switches and routers (at both the hardware and software level) which enables this type of attack. We also present amplitude and frequency based modulation and encoding schemas, along with a simple transmission protocol. We implement a prototype of an exfiltration malware and discuss its design and implementation. We evaluate this method with a few routers and different types of LEDs. In addition, we tested various receivers including remote cameras, security cameras, smartphone cameras, and optical sensors, and also discuss different detection and prevention countermeasures. Our experiment shows that sensitive data can be covertly leaked via the status LEDs of switches and routers at a bit rates of 10 bit/sec to more than 1Kbit/sec per LED.

연구 동기 및 목표

  • 네트워킹 장치의 상태 LED가 데이터 유출를 위한 코어프트 통신 채널로 활용될 수 있는지 조사하기.
  • 고립된 네트워크에서 민감한 데이터를 인코딩하고 전송하기 위해 LED를 제어하는 악성 소프트웨어 기반 시스템을 개발하고 구현하기.
  • 일반적인 광센서를 사용한 원격 데이터 수신의 가능성을 평가하기.
  • 이러한 사이드채널 공격의 탐지 가능성과 잠재적 대응 조치를 평가하기.
  • 심지어 공기 격리 시스템이라도 의도하지 않은 전자기 및 광학 사이드채널을 통해 데이터 유출에 취약할 수 있음을 입증하기.

제안 방법

  • 악성 소프트웨어를 로컬 영역 네트워크 스위치 또는 라우터에 배포하여 상태 LED에 대한 완전한 제어를 확보한다.
  • LED 깜빡임 패tern에 진폭 및 주파수 변조 기법을 적용하여 데이터를 인코딩한다.
  • 신뢰할 수 있는 수신을 위해 데이터 스트림을 체계화하는 전용 전송 프로토콜을 설계한다.
  • 모듈레이션된 빛 신호는 표준 카메라, 보안 카메라, 전용 광센서를 포함한 원격 광수신기로 캡처된다.
  • 네트워크 장치의 본질적인 하드웨어 및 소프트웨어 아키텍처를 활용하여 탐지되지 않도록 정밀한 LED 제어를 가능하게 한다.
  • 수신 측에서 신호 처리를 통해 변조된 빛을 이진 데이터로 디코딩하고, 유출된 정보를 재구성한다.

실험 결과

연구 질문

  • RQ1라우터 및 스위치의 상태 LED가 데이터 유출를 위한 코어프트 통신 채널로 사용될 수 있는가?
  • RQ2어떤 변조 기법이 LED 깜빡임 패턴을 통해 신뢰성 있는 데이터 전송을 가능하게 하는가?
  • RQ3다양한 LED 유형과 수신기 구성에서 달성 가능한 데이터 전송 속도는 무엇인가?
  • RQ4일반 소비자용 카메라 및 광센서는 변조된 신호를 캡처하고 디코딩하는 데 얼마나 효과적인가?
  • RQ5실제 공기 격리 환경에서 이러한 공격의 실용적 제약과 탐지 위험은 무엇인가?

주요 결과

  • xLED 공격는 라우터 및 스위치의 상태 LED만을 사용하여 공기 격리 네트워크에서 데이터를 성공적으로 유출시켰다.
  • 데이터 전송 속도는 LED 유형과 변조 방식에 따라 10 bit/sec에서 1,000 bit/sec 이상으로 변동하였다.
  • 원격 카메라, 스마트폰 및 보안 카메라 모두 변조된 LED 신호를 높은 정확도로 캡처하고 디코딩할 수 있었다.
  • 광센서는 가장 신뢰성 있고 고대역폭 수신을 제공하여 가장 높은 데이터 전송 속도를 달성했다.
  • 네트워크 트래픽이나 프로토콜 이상 징후가 없기 때문에 표준 네트워크 모니터링에서 공격가 탐지되지 않았다.
  • 이 방법은 다양한 라우터 및 스위치 모델에서 검증되어 광범위한 적용 가능성을 확인했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.