ETHERLED¶
Network kartının status LED'lerini Morse/binary olarak yanıp söndürüp uzaktan bir kamerayla kaydederek air-gapped bir makineden veri sızdır.
Mechanism¶
Neden çalışır
Bir network interface controller (NIC), küçük status/activity LED'lerini sürer. Bunların state'i software ile gözlemlenebilir ve software ile kontrol edilebilir — link hızı ve aktivite normalde bunları toggle'lar, ama belgelenmiş driver kontrolleri (ve bazı adapter'larda belgelenmemiş firmware komutları) malware'in bunları kasıtlı olarak set etmesine izin verir. Bir air gap, network ve electromagnetic exfiltration'ı bloklar, ama yanıp sönen bir LED'e olan görüş hattını (line-of-sight) bloklamaz.
Bu optical covert channel'ın leak/transmit/decode invariant'ı:
- Leak/encode: air-gapped host'taki malware bir secret'ı (key, password) serialize eder ve basit bir şemayla — Morse code ya da on/off binary modülasyon — NIC LED'(ler)ini açıp kapatarak, state'leri veya renkleri değiştirerek encode eder.
- Transmit: LED görünür ışık yayar; channel optical'dır ve air gap'i atlatır.
- Decode: uzaktaki bir kamera (gizli bir kamera, bir drone veya ele geçirilmiş bir gözetleme kamerası), yanıp sönmeyi onlarca ila yüzlerce metreden kaydeder ve sembolleri bit'lere geri demodüle eder.
Walkthrough¶
Transmitter, LED state'ini sabit bir sembol periyodunda modüle eder (sysfs/ethtool üzerinden kontrol edilebilir bir LED'e sahip bir Linux host'unda kavramsal Morse):
# Conceptual: drive a NIC activity LED on/off as Morse dots/dashes.
# Real driver/firmware control varies by NIC; see the paper for details.
LED=/sys/class/leds/eth0::activity/brightness # if the driver exposes it
dot() { echo 1 > $LED; sleep 0.2; echo 0 > $LED; sleep 0.2; }
dash() { echo 1 > $LED; sleep 0.6; echo 0 > $LED; sleep 0.2; }
# 'S' = ... , 'O' = --- (SOS):
dot; dot; dot; dash; dash; dash; dot; dot; dot; sleep 1
Bir receiver, LED'i bir kamerayla kaydeder ve sembol on/off sürelerini geri elde etmek için frame başına brightness'a threshold uygular, sonra süreleri Morse/bit'lere geri map'ler.
Receiver demodülasyonu (kavramsal)
Detection¶
- Ekipmanın kamera/optical monitoring'i; status LED'lerini kapatmak veya kaldırmak.
- Trafikle tutarsız, beklenmedik ve pattern'lı NIC LED aktivitesini denetlemek.
Mitigation¶
- Güvenli tesislerde LED'leri fiziksel olarak bantlamak / devre dışı bırakmak; görüş hattı olan kameraları yasaklamak; air-gapped ekipmanı LED-shielded muhafazalara yerleştirmek.