DiskFiltration¶
Data'yı hard-disk actuator seek noise'una encode eden — speaker gerekmez — yakındaki bir smartphone tarafından okunan bir air-gap acoustic exfiltration.
Mechanism¶
Ele geçirilmiş, speaker'sız bir air-gapped makinede, malware HDD actuator kolunu hareket ettiren bilinçli seek operation'ları çıkarır; mekanik hareket dar bir bantta yoğunlaşan acoustic noise yayar.
Note
Guri vd.'nin deneylerinde (Ben-Gurion Üniversitesi) en bilgilendirici bölge ~2080 Hz'tir; bu ~0.48 ms'lik bir track-to-track seek süresine karşılık gelir. Binary data On-Off Keying (OOK) ile modüle edilir: bir '1', seek'in ürettiği acoustic carrier enerjisinin varlığı, '0' ise yokluğudur; ~0.3 s'lik symbol period'ları üzerinde. Bu, önceki acoustic air-gap channel'larını etkisiz kılan speaker-yok varsayımını atlatır.
Walkthrough¶
- Stage. Malware exfil data'sını (password'lar, key'ler, keylog) toplar.
- Emit. Bir '1' göndermek için bir seek operation'ları burst'ü çalıştır (uzak track'ler arasında senkronize I/O) ve carrier bandına yakın acoustic enerjiyi yükselt; '0' için diski sessiz tut.
- Receive. ~2 m (6 ft) içindeki bir smartphone audio'yu kaydeder.
- Decode. ~2080 Hz civarında bandpass yap, OOK symbol'lerini ~0.3 s oranında threshold'la ve decode et.
Gösterilen efektif bit rate: near-0% BER'de 3 bit/s (180 bit/dk, ~10.800 bit/saat); internal/external HDD'ler ve chassis'ler boyunca doğrulandı.
Detection¶
Görece sessiz bir ortamda yakın bir receiver (~2 m) gerektirir; anormal sürekli seek aktivitesi davranışsal bir sinyaldir.
Mitigation¶
Hardware — HDD'leri SSD'lerle değiştir (hareketli actuator yok); acoustic enclosure'lar/dampening; hedef frekanslarda noise monitor'leri; acoustic jamming. Software/prosedürel — yoğun seek pattern'li process'leri kısıtla/izle; receiver'ları yakından uzak tut (zoning).