miércoles, diciembre 04, 2013

Covert Channels usando protocolos de red "Under Water"

No hace mucho tiempo que se hablaba de una posible nueva generación de malware que podría llegar mediante el uso de comunicaciones con ultrasonidos. Este posible malware del que comenzó a hablar el investigador Dragos Ruiu fue conocido como BadBIOS y se suponía un virus que infectaba con software malicioso el equipo - en su caso concreto se especulaba con software en la BIOS actualizable - que se comunicaba con ultrasonidos inaudibles para el oído humano.

Que haya un malware que se oculte en zonas donde no parece fácil es mucho más sencillo de lo que la gente pude suponer. Hace muchos años que se hicieron las primeras muestras de malware para BIOS, pero desde hace tiempo se analiza el firmware de las tarjetas gráficas, interfaces de comunicaciones, etcétera, que se instala en memorias programables de los equipos. Sin ir muy lejos, recuerdo haber sonreído al leer que en los equipos MacBook la clave que daba acceso al firmware SMC de los equipos era un conjuro de Harry Potter invocable con "SpecialisRevelio"

Tampoco hay que irse muy atrás en el tiempo para ver las presentaciones de Charlie Miller en BlackHat donde hacía algo similar con el software de las baterías de equipos MacBook, de las que había sido capaz de localizar las passwords necesarias para cambiar y manipular a antojo el software instalado en ellas.

En cualquiera de los casos se trataría de infectar un equipo a bajo nivel, sin preocuparse demasiado de qué sistema operativo hubiera por encima. El malware allí instalado podría acceder a las pulsaciones de teclado, el contenido de ficheros o lo representado por pantalla, algo que debería reportar a un servidor central sin ser detectado. Es decir, el malware necesitaría un covert-channel.

En el caso de BadBIOS se especulaba de ultrasonidos, algo que hace tiempo se ha estudiado. De hecho, el Instituto de Fraunhofer de Alemania, ha publicado un documento titulado "On Cover Acoustical Mesh Networks in Air" en el que explica y hace una prueba de concepto sobre cómo podría funcionar la transmisión de información robada de una red de computadores infectados con un malware que usara los ultrasonidos como covert channel.

Figura 1: Esquema de comunicación de malware con covert-channel basado en ultrasonidos

En este entorno se supone que los equipos infectados tienen acceso al micrófono y al altavoz para recibir y emitir sonidos. Esto supone un alcance limitado de las comunicaciones, pero le permitiría enviar sonidos de un equipo a otro hasta llegar a uno de ellos que haría de cabeza de puente y enviaría los datos utilizando un canal más tradicional como un servidor SMTP, usando un fichero de e-mail con un fichero de audio adjunto o directamente con los datos procesados.

Figura 2: Esquema de red infectada en el Instituto Fraunhofer con covert-channel de ultrasonidos

Utilizar una cabeza de puente para enviar todas las comunicaciones reduce mucho el ruido - nunca mejor dicho - que podría generar en tráfico de red el envío de datos por parte de todos los equipos infectados de una organización. Además, como ya se vio por ejemplo en los objetivos del control de redes por parte de la NSA - según los documentos filtrados por Edward Snowden - esta cabeza de puente podría ser un switch o directamente el router de conexión a Internet que generalmente está menos protegido y monitorizado que el resto.

Figura 3: Comunicación a través de Internet usando una cabeza de puente

Para conseguir comunicar los datos por ultrasonidos no hay que irse muy lejos, y se pueden utilizar protocolos estándares y reconocidos, como el GUWAL (Generic Under Water Application Language). Un protocolo de comunicaciones pensado para realizar transmisiones de datos entre barcos y equipos submarinos que permitan una conexión en entornos como los océanos marinos - el tipo de protocolo que se podría utilizar si vas a pinchar un cable submarino y comunicar dos equipos debajo del agua -.

Figura 4: Uso de protocolos GUWAL para comunicación en ultrasonidos

Este protocolo ya está bastante estudiado y hay bastantes trabajos que explican su funcionamiento "GUWMANET – Multicast Routing in Underwater Acoustic Networks" e incluso se ha pensado en todo tipo de situaciones de red, como por ejemplo las intrusiones de atacantes dentro de la red de comunicaciones definida por los ultrasonidos "Jamming-Resistant Multi-path Routing for Reliable Intruder Detection in Underwater Networks".

Figura 5: Esquemas de detección de intrusos en GUWAL

Todo esto, cuando ya se ha empezado a hablar de Stuxnet 2 y sobre cómo será la evolución de sistemas que vengan a superar a The Flame o todo lo que ha implementado la NSA para controlar Internet, el pensar que haya sistemas de robo de información metidos en las redes que roben los datos de esta forma no está lejos de ser realidad. De hecho, ya hemos visto varias veces como guiones de películas de ficción superaban la realidad, como el caso del ataque al corazón remoto en HomeLand o el espionaje descrito en Enemigo Público. Prepárate para lo que vendrá que seguro que no lo ves - ni lo oyes - venir.

Saludos Malignos!

2 comentarios:

  1. En parte da un poco de miedo ver a la velocidad a la que avanza el desarrollo de malware, imagino que no hay recortes en I+D para ese sector.

    El lado positivo de todo esto (si lo hay) es que no nos vamos a aburrir.

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar