SecBoard
Zurück zur Übersicht

New TrojPix Attack Leaks Data From Air-Gapped Systems via Video Cable Emissions

The Hacker News·
Originalartikel lesen bei The Hacker News

Chinesische Forscher haben mit „TrojPix“ eine neue Methode entwickelt, um Daten von luftgesperrten Systemen zu stehlen. TrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. Dies betrifft Systeme, auf denen bereits Malware vorhanden ist. Unternehmen sollten ihre Sicherheitsmaßnahmen überprüfen und den Schutz vor Malware-Infektionen verstärken.

Kurzfassung

Chinesische Forscher haben eine neue Methode namens TrojPix entwickelt, um Daten von luftgesperrten Systemen zu exfiltrieren. TrojPix manipuliert Bildschirm-Pixel, um über Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. Diese Methode betrifft Systeme, die bereits mit Malware kompromittiert sind.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen mit luftgesperrten Systemen, die bereits mit Malware infiziert sind.

Warum relevant

Diese Methode untergräbt die Annahme der Sicherheit von luftgesperrten Systemen, indem sie eine neue Vektoren für die Datenexfiltration über elektromagnetische Emissionen von Videokabeln einführt. Es betont die Notwendigkeit robuster Endpunktsicherheit, selbst in isolierten Netzwerken.

Realistisches Worst Case

Sensible Daten von einem luftgesperrten System werden unbemerkt über elektromagnetische Emissionen von Videokabeln exfiltriert, nachdem das System bereits mit Malware kompromittiert wurde.

Handlungsempfehlung

Überprüfen und verstärken Sie die Sicherheitsmaßnahmen gegen Malware-Infektionen, insbesondere für Systeme, die als luftgesperrt gelten. Bewerten Sie die physische Sicherheit und die elektromagnetische Abschirmung in der Nähe kritischer luftgesperrter Systeme.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Wirksamkeit Ihrer aktuellen Endpoint Detection and Response (EDR)-Lösungen auf luftgesperrten Systemen, um Malware-Infektionen zu erkennen und zu verhindern.
  • Führen Sie eine Bestandsaufnahme aller luftgesperrten Systeme durch und bewerten Sie deren physische Umgebung auf potenzielle Empfänger in der Nähe von Videokabeln.
  • Überprüfen Sie die Richtlinien und Verfahren zur Verhinderung der Einführung von Malware auf luftgesperrte Systeme (z.B. USB-Kontrollen, Software-Lieferketten-Sicherheit).
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExfiltrationT1052 Exfiltration Over Physical MediumHighTrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können.
Command and ControlT1090 ProxyLowTrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. (Impliziert einen Kommunikationskanal, der als Proxy dienen könnte)
Offene Punkte
  • Es wird nicht spezifiziert, welche Art von Malware für die Kompromittierung des Systems erforderlich ist.
  • Es wird nicht spezifiziert, welche Art von Videokabeln betroffen ist (z.B. VGA, HDMI, DisplayPort).
  • Es wird nicht spezifiziert, welche Reichweite der Empfänger haben muss, um die Signale zu dekodieren.
  • Es wird nicht spezifiziert, welche Art von Daten exfiltriert werden kann oder welche Datenrate erreicht wird.
  • Es wird nicht spezifiziert, ob es spezifische Hardware- oder Softwareanforderungen für den Angreifer gibt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)