Blog Widefense

Sonido de BadBIOS wannabe se comunica sobre redes aisladas “air gaps”.

Escrito por Angela Bielefeldt | 27-dic-23

Los científicos informáticos han fabricado un prototipo de malware que es capaz de comunicarse a través de las brechas de aire utilizando sonidos inaudibles.

 

La red de malla capaz de comunicarse encubiertamente sin conexiones inalámbricas o por cable, fue desarrollada por Michael Hanspach y Michael Goetz.Toma sus principios fundacionales de los sistemas establecidos para una comunicación subacuática robusta.

 

En el sistema, las comunicaciones podrían mantenerse a lo largo de múltiples saltos para fines como la administración de máquinas infectadas con malware, así como explica el resumen de un documento para una edición reciente del Journal of Communications. Los investigadores continúan esbozando posibles contramedidas contra malware diabólico, incluyendo sistemas de blindaje contra la exposición a sonidos de alta frecuencia.

 

Los canales encubiertos pueden utilizarse para eludir las políticas de redes y sistemas estableciendo comunicaciones que no se han considerado en el diseño del sistema informático.Construimos un canal encubierto entre diferentes sistemas de computación que utiliza modulación / de modulación de audio para intercambiar datos entre los sistemas informáticos sobre el medio aéreo.

 

La capacidad de red subyacente se basa en un sistema de comunicación que fue diseñado originalmente para una comunicación subacuática robusta. Se adaptó el sistema de comunicación para implementar comunicaciones encubiertas y furtivas utilizando la gama de frecuencias ultrasónicas cercanas.

 

Demostramos además cómo el escenario de la comunicación acústica encubierta sobre el medio aéreo se puede extender a comunicaciones de salto múltiple e incluso a redes de malla inalámbricas.Una red de malla acústica encubierta puede ser concebida como una botnet o malnet accesible a través de comunicaciones de audio de campo cercano.

 

Se presentan diferentes aplicaciones de redes de malla acústica encubiertas, incluyendo el uso para keylogging remoto sobre múltiples saltos.Se muestra que el concepto de una red de malla acústica encubierta hace inútiles muchos conceptos convencionales de seguridad, ya que las comunicaciones acústicas no suelen ser consideradas.Finalmente, se discuten contramedidas contra redes de malla acústica encubiertas, incluyendo el uso de filtros de bajo nivel en sistemas informáticos y un sistema de detección de intrusiones basado en host para analizar entradas y salidas de audio con el fin de detectar cualquier irregularidad.

  

Los dos investigadores alemanes explican cómo su código malicioso de prueba de concepto puede usar la tarjeta de sonido incorporada, los altavoces y el micrófono como dispositivos de envío y recepción para mover la información de un nodo infectado a otro en máquinas comprometidas de forma similar, dentro de 20 metros uno del otro.

 

Ellos continuaron:

 

Dos equipos que no están conectados entre sí a través de tipos establecidos de interfaces de red (por ejemplo, IEEE 802.3 Ethernet [2] o IEEE 802.11 WLAN [3]) o que están prohibidos de comunicarse entre sí sobre estos tipos establecidos de interfaces de red son, sin embargo , capaces de comunicarse entre sí mediante el uso de sus dispositivos de entrada y salida de audio (micrófonos y altavoces).

 

Una velocidad dolorosamente lenta de sólo 20 bps se logró mediante el método, pero sin embargo, podría ser viable para un keylogger, siempre y cuando no hay interferencia externa.

 

La posibilidad de un malware que se puede comunicar a través de máquinas de aire comprimido, o peor aún, propagarse a ellos, es un escenario de pesadilla para los encargados de otras redes ultra seguras bien diseñadas (piense en algunos sistemas militares, centrales eléctricas, etc.).¿Por qué? Debido a que una «red de malla acústica encubierta» no respondería a ninguna de las medidas de seguridad bien establecidas tomadas por las organizaciones, y la inhabilitación de los componentes de audio no siempre es factible.

 

El tipo de malware descrito por los investigadores tiene un extraño parecido con las características del malware BadBIOS que se dice que han afligido a las máquinas dirigidas por el investigador de seguridad informática Dragos Ruiu.

 

Bautizado como BadBIOS, el misterioso rootkit puede supuestamente saltar sobre las aberturas de aire, atornillarse con una serie de sistemas operativos diferentes e incluso sobrevivir a las reescrituras de firmware de la placa base. Ruiu (AKA @dragosr) – quien organiza el popular concurso anual de hacking Pwn2Own en la conferencia de CanSecWest – dijo que había encontrado el malware después de infectar sus computadoras, pero nadie más lo ha visto. El Registro le preguntó a Ruiu sobre su progreso en la búsqueda en BadBIOS el martes, pero aún no han recibido respuesta.

 

Adam Kujawa, un investigador de seguridad en la firma de antivirus MalwareBytes, calcula que la investigación muestra que es posible que las máquinas infectadas con malware conversen entre sí a través de un «air gap». Pero está lejos de convencerse de que cualquier infección sea posible a través del método. Él sugiere que es mucho más práctico intentar usar un palillo USB infectado para un ataque dirigido contra una red de aire comprimido, el supuesto método de la ultra sofisticada ciber-munición Flame utilizada para propagarse.Según se informa, Flame fue cocinada bajo el mismo programa de Juegos Olímpicos de la Operación US-Israel que dio lugar a Stuxnet.

 

«Mi teoría es que ésta tecnología podría utilizarse para proporcionar malware dirigido a medio de comunicación externa para el contacto con un servidor de mando y control», escribe Kujawa en un blog. El sistema infectado recibiría órdenes del servidor y asumiendo que la infección inicial en el sistema encubierto era vía la impulsión del USB, quizás el malware podría almacenar datos robados en el USB.

 

«Esos datos serían enviados más adelante una vez que el USB sea capaz de conectarse a un sistema orientado hacia afuera, similar al funcionamiento de Flame al extraer datos confidenciales de redes cerradas», añadió.