New TrojPix Attack Leaks Data From Air-Gapped Systems via Video Cable Emissions
Chinesische Forscher haben mit „TrojPix“ eine neue Methode entwickelt, um Daten von luftgesperrten Systemen zu stehlen. TrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. Dies betrifft Systeme, auf denen bereits Malware vorhanden ist. Unternehmen sollten ihre Sicherheitsmaßnahmen überprüfen und den Schutz vor Malware-Infektionen verstärken.
Chinesische Forscher haben eine neue Methode namens TrojPix entwickelt, um Daten von luftgesperrten Systemen zu exfiltrieren. TrojPix manipuliert Bildschirm-Pixel, um über Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. Diese Methode betrifft Systeme, die bereits mit Malware kompromittiert sind.
Organisationen mit luftgesperrten Systemen, die bereits mit Malware infiziert sind.
Diese Methode untergräbt die Annahme der Sicherheit von luftgesperrten Systemen, indem sie eine neue Vektoren für die Datenexfiltration über elektromagnetische Emissionen von Videokabeln einführt. Es betont die Notwendigkeit robuster Endpunktsicherheit, selbst in isolierten Netzwerken.
Sensible Daten von einem luftgesperrten System werden unbemerkt über elektromagnetische Emissionen von Videokabeln exfiltriert, nachdem das System bereits mit Malware kompromittiert wurde.
Überprüfen und verstärken Sie die Sicherheitsmaßnahmen gegen Malware-Infektionen, insbesondere für Systeme, die als luftgesperrt gelten. Bewerten Sie die physische Sicherheit und die elektromagnetische Abschirmung in der Nähe kritischer luftgesperrter Systeme.
- ▸Überprüfen Sie die Wirksamkeit Ihrer aktuellen Endpoint Detection and Response (EDR)-Lösungen auf luftgesperrten Systemen, um Malware-Infektionen zu erkennen und zu verhindern.
- ▸Führen Sie eine Bestandsaufnahme aller luftgesperrten Systeme durch und bewerten Sie deren physische Umgebung auf potenzielle Empfänger in der Nähe von Videokabeln.
- ▸Überprüfen Sie die Richtlinien und Verfahren zur Verhinderung der Einführung von Malware auf luftgesperrte Systeme (z.B. USB-Kontrollen, Software-Lieferketten-Sicherheit).
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Exfiltration | T1052 Exfiltration Over Physical Medium | High | TrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. |
| Command and Control | T1090 Proxy | Low | TrojPix manipuliert Bildschirm-Pixel, um über das Videokabel Funksignale auszusenden, die von einem Empfänger dekodiert werden können. (Impliziert einen Kommunikationskanal, der als Proxy dienen könnte) |
- Es wird nicht spezifiziert, welche Art von Malware für die Kompromittierung des Systems erforderlich ist.
- Es wird nicht spezifiziert, welche Art von Videokabeln betroffen ist (z.B. VGA, HDMI, DisplayPort).
- Es wird nicht spezifiziert, welche Reichweite der Empfänger haben muss, um die Signale zu dekodieren.
- Es wird nicht spezifiziert, welche Art von Daten exfiltriert werden kann oder welche Datenrate erreicht wird.
- Es wird nicht spezifiziert, ob es spezifische Hardware- oder Softwareanforderungen für den Angreifer gibt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Resource Development detektieren?