Skip to content

DiskFiltration

Data'yı hard-disk actuator seek noise'una encode eden — speaker gerekmez — yakındaki bir smartphone tarafından okunan bir air-gap acoustic exfiltration.

Mechanism

Ele geçirilmiş, speaker'sız bir air-gapped makinede, malware HDD actuator kolunu hareket ettiren bilinçli seek operation'ları çıkarır; mekanik hareket dar bir bantta yoğunlaşan acoustic noise yayar.

Note

Guri vd.'nin deneylerinde (Ben-Gurion Üniversitesi) en bilgilendirici bölge ~2080 Hz'tir; bu ~0.48 ms'lik bir track-to-track seek süresine karşılık gelir. Binary data On-Off Keying (OOK) ile modüle edilir: bir '1', seek'in ürettiği acoustic carrier enerjisinin varlığı, '0' ise yokluğudur; ~0.3 s'lik symbol period'ları üzerinde. Bu, önceki acoustic air-gap channel'larını etkisiz kılan speaker-yok varsayımını atlatır.

Walkthrough

  1. Stage. Malware exfil data'sını (password'lar, key'ler, keylog) toplar.
  2. Emit. Bir '1' göndermek için bir seek operation'ları burst'ü çalıştır (uzak track'ler arasında senkronize I/O) ve carrier bandına yakın acoustic enerjiyi yükselt; '0' için diski sessiz tut.
  3. Receive. ~2 m (6 ft) içindeki bir smartphone audio'yu kaydeder.
  4. Decode. ~2080 Hz civarında bandpass yap, OOK symbol'lerini ~0.3 s oranında threshold'la ve decode et.

Gösterilen efektif bit rate: near-0% BER'de 3 bit/s (180 bit/dk, ~10.800 bit/saat); internal/external HDD'ler ve chassis'ler boyunca doğrulandı.

Detection

Görece sessiz bir ortamda yakın bir receiver (~2 m) gerektirir; anormal sürekli seek aktivitesi davranışsal bir sinyaldir.

Mitigation

Hardware — HDD'leri SSD'lerle değiştir (hareketli actuator yok); acoustic enclosure'lar/dampening; hedef frekanslarda noise monitor'leri; acoustic jamming. Software/prosedürel — yoğun seek pattern'li process'leri kısıtla/izle; receiver'ları yakından uzak tut (zoning).

References